Bl cho th b =))

Hơi khó hiểu, nhưng chắc áp dụng nhiều

xịn quá bác. Tất nhiên là phải filter rồi, từ filter url, tạo signature để verify cho tới XSS khi render,... Trên server thì bao giờ cũng chỉ extract 1 đoạn tham số dạng id, slug,... còn trong bài viết này em chỉ demo cho các bác ý tưởng thôi =)))

Happy new year

Cảm ơn bạn. Chúc mừng năm mới nhé

Happy new year

Bài viết hay quả cảm ơn anh nhiều lắm. Chúc mừng năm mới anh

Cám ơn bác đã "lì xì" đầu năm, chúc bác sớm có em loa nhé 😁

Em có góp ý thêm mình dùng render html hơi có rủi ro nhưng mình filter kỹ là được, chắc công ty bác có khắc phục rồi. Trong trường hợp bài viết trên thì bị dính lỗi SSRF, kẻ tấn công có thể khai thác thông tin các internal service thông qua việc inject param url là có thể access các thông tin API máy chủ bên trong, các trang quản trị,... Ví dụ em thử xem ip của Docker em đang chạy (lì xì bác em bug đầu năm =)) )

Ngoài ra thì cái Open Graph Protocol cũng từng được nhiều ae lợi dụng khai thác, em gửi ví dụ của Twitter, bác có thể xem thêm các report trên hackerone tham khảo thêm https://twitter.com/BugBountyHQ/status/868242771617792000

Hay quá bro ạ ❤️

Bài viết khá hay 😃 tks chủ thớt

Bài viết hay

hi anh, series này có ra tiếp nữa ko anh

@nampt.me ,bạn ơi xài hết 500 giờ làm sao để có thể xài tiếp

Thank bro nha. Ăn tết vui vẻ

@thanhle27 Bài hay đấy Ăn tết vui vẻ nhé

tks

bài này giống triển khai hơn là tìm hiểu

8tr5 dữ v

thank a vì bài viết hay a. Anh có thể giải đáp giúp em tai sao dùng 2 minIO trong docker compose và dùng nginx để làm gì ạ. Thank anh nhiều

nếu dùng kafka thì có thể rollback bằng cách replay event