Путь php 5 модулей

PHP SSRF: file_get_contents, cURL и Cloud Metadata

Курс по Server-Side Request Forgery в PHP Native. Разберём file_get_contents() с URL, cURL-запросы, allow_url_fopen, redirect-атаки, доступ к Cloud Metadata (169.254.169.254) и защиту через parse_url() allowlist, CURLOPT_FOLLOWLOCATION и блокировку приватных IP.

Модуль 1: Введение в SSRF

file_get_contents, cURL, allow_url_fopen, PHP stream wrappers.

0/3

1. SSRF в PHP: file_get_contents и cURL
Pro
2. Обзор методов защиты
Pro
3. Тест: Введение в SSRF
Pro

Модуль 2: Basic SSRF

SSRF через file_get_contents($url), защита parse_url() allowlist.

0/4

1. Базовый SSRF через file_get_contents()
Pro
2. Защита: URL allowlist + parse_url()
Pro
3. Тест: Basic SSRF
Pro
EXP FIX
4. Практика: Basic SSRF
easy
Pro

Модуль 3: SSRF через Redirect

Redirect к внутренним IP, защита CURLOPT_FOLLOWLOCATION.

0/4

1. SSRF через HTTP Redirect
Pro
2. Защита: CURLOPT_FOLLOWLOCATION = false
Pro
3. Тест: Redirect SSRF
Pro
EXP FIX
4. Практика: Redirect SSRF
hard
Pro

Модуль 4: Cloud Metadata SSRF

Доступ к 169.254.169.254, защита блокировкой приватных IP.

0/4

1. SSRF и Cloud Metadata
Pro
2. Защита: Блокировка приватных IP через ip2long()
Pro
3. Тест: Cloud Metadata SSRF
Pro
EXP FIX
4. Практика: Cloud Metadata SSRF
medium
Pro

Модуль 5: Итоговый обзор

PHP stream wrappers, allow_url_fopen, реальные CVE, чеклист.

0/5

1. Итоговый обзор: SSRF в PHP
Pro
2. SSRF через HTML→PDF конвертеры
Pro
3. Defense-in-Depth: многослойная защита
Pro
4. Автоматизация обнаружения: SAST и DAST
Pro
5. Финальный тест: SSRF
Pro