daytriftnewgen12 янв в 20:16

CVE-2026-21876: Как найти критический байпас широко использующегося WAF за 3 дня, если лень читать сорсы

Простой

4 мин

8.3K

Bug hunters * GitHub * Информационная безопасность *

Из песочницы

Комментарии 7

daytriftnewgen 13 янв в 07:31

Статья не претендует на высокий уровень технического описания и написана с другими целями. Главная ее задача - рассказать историю. Для интересующихся расширенный технический материал был многократно опубликован, в том числе по ссылкам, которые я указал в посте.

srzybnev 13 янв в 08:51

Годно!

daytriftnewgen 13 янв в 09:24

Upd: добавил больше тех описания проблемы

darkside-rat 13 янв в 16:44

Хорошая статья!

HlebLegendarny 21 янв в 05:34

Очень классная и мотивирующая вновь коснуться кибербеза статья! Прям гордость берёт за вас, продолжайте в том же духе!

Надеюсь в будущем услышать от вас о любом другом CVE или может какие-нибудь приключения из bug bounty? В любом случае у вас очень интересная статья вышла)

shanker 13 фев в 14:39

Для меня процесс присвоения CVE всегда представлялся как какой-то долгий, утомительный формальный процесс, и на деле я очень рад, что я в этом ошибся.

Всякое бывает. У меня, например, вендор не просто отказывался считать проблему угрозой, он ещё пытался отозвать CVE, когда я самостоятельно занялся регистрацией CVE.

Вообще, вендор не всегда по своей инициативе оформляет CVE. В таких случаях лучше не слишком тянуть: оформить CVE спустя много лет может быть сложно. У меня был случай, когда к моменту оформления CVE вендора уже не стало. И это негативно повлияло на сроки оформления CVE. А бывают ситуации, когда CVE сложно оформить из-за отказа вендора считать проблему уязвимостью.

иногда одно решение не откладывать это на потом может сыграть ключевую роль в вашем карьерном росте

И как это отобразилось на карьерном росте?

daytriftnewgen 16 фев в 12:39

Спасибо за комментарий!
Карьерным ростом я называю профессиональное развитие и достижение намеченных целей. Одной из моих целей была регистрация критической CVE, а если на меньшем отрезке времени - найти байпас выбранного WAF. Цель была достигнута, а для меня это стало звоночком, что некоторые цели в итоге оказываются не такими уж призрачными, что тоже повлияло на желание расти в области ресерча

Зарегистрируйтесь на Хабре, чтобы оставить комментарий