Путь golang 8 модулей

Go SSRF Security: От локальной сети до Cloud Metadata

Глубокое погружение в Server-Side Request Forgery (SSRF) в Go-приложениях. Вы научитесь находить и эксплуатировать SSRF для сканирования внутренних сетей, обхода файрволов и кражи секретов из облачных метаданных (AWS, GCP, Azure).

Модуль 1: Введение в SSRF

Разбираемся с механикой атак, когда ваш Go-сервер становится инструментом в руках хакера для запросов во внутреннюю сеть.

0/4

1. Концепция SSRF: Сервер как прокси
Pro
2. Последствия: Сканирование локальной сети
Pro
3. Где прячется SSRF: поиск точек входа
Pro
4. Тест: Основы SSRF
Pro

Модуль 2: Basic SSRF

Изучаем классические уязвимости в Go-коде при работе с HTTP-клиентами и парсингом URL.

0/4

1. Ловушки http.Get и http.Post
Pro
2. Ошибки логики при парсинге URL
Pro
3. Тест: Basic SSRF
Pro
EXP FIX
4. Практика: SSRF в превью ссылок
easy
Pro

Модуль 3: Bypasses (IPv6, Localhost)

Учимся обходить примитивные фильтры и черные списки IP-адресов.

0/4

1. Обход localhost: IPv6 и альтернативные форматы
Pro
2. DNS Rebinding: Атака через время жизни (TTL)
Pro
3. Тест: Обход фильтров
Pro
EXP FIX
4. Практика: Обход SSRF-блокады
medium
Pro

Модуль 4: Hardening (Allowlists)

Учимся правильно защищать Go-приложение с помощью белых списков и безопасных HTTP-транспортов.

0/3

1. Настройка безопасного http.Transport
Pro
2. Валидация IP и Белые списки (Allowlists)
Pro
3. Тест: Защита от SSRF
Pro

Модуль 5: Cloud Security (Metadata)

Самый критичный вектор: кража IAM-ролей и секретов из облачных сервисов метаданных (AWS, GCP).

0/3

1. Облачные метаданные (AWS, GCP, Azure)
Pro
2. Компрометация EC2 через SSRF
Pro
3. Тест: Облачная безопасность
Pro

Модуль 6: SSRF через HTTP Redirect

Изучаем обход проверки URL через цепочки HTTP-редиректов и защиту через CheckRedirect в Go.

0/4

1. Обход проверки через HTTP Redirect (302)
Pro
2. Защита через CheckRedirect и безопасный Transport
Pro
3. Тест: SSRF через Redirect
Pro
EXP FIX
4. Практика: Обход фильтра через редирект
medium
Pro

Модуль 7: Cloud Metadata SSRF

Кража IAM-credentials и сервисных токенов из облачных метаданных (AWS, GCP, Azure) через SSRF.

0/4

1. Кража секретов из AWS/GCP/Azure Metadata
Pro
2. Защита через IMDSv2 и блокировку link-local
Pro
3. Тест: Cloud Metadata SSRF
Pro
EXP FIX
4. Практика: Кража AWS credentials через SSRF
medium
Pro

Модуль 8: Итоговый обзор

Полная таксономия SSRF-атак, эталонный безопасный HTTP-клиент и разбор реальных инцидентов.

0/6

1. Полная таксономия SSRF-атак
Pro
2. Эталонный безопасный HTTP-клиент
Pro
3. Реальные CVE и инциденты
Pro
4. Автоматическое обнаружение SSRF в CI/CD
Pro
5. Тест: DevSecOps и автоматизация
Pro
6. Итоговый тест: SSRF
Pro