Начинаем в багбаунти: file upload — больше, чем просто картинка

13.04.2026 12:10:00 | Хабр

Хабы: Блог компании Positive Technologies, Информационная безопасность, Тестирование IT-систем

Привет, Хабр!

На связи Олег Уланов (aka brain), багхантер и ведущий подкаста «Начинаем в багбаунти». Кстати, по итогам 2025 года стал топ-1 площадки Standoff Bug Bounty.

Этот материал мы подготовили вместе с Дмитрием Прохоровым, пентестером из PT SWARM (в мире багхантинга Дима известен как ratel_xx).

В статье речь пойдёт о поиске уязвимостей через загрузку файлов. Вы узнаете, как устроен механизм multipart/form-data, какие защитные механизмы ставят разработчики и как их обходить. Я покажу на практике, что можно сделать с расширениями файлов, Content-Type, magic bytes, а заодно затрону эксплойты типа race condition, zip-слайп и нестандартные векторы вроде загрузки .htaccess. Статья подойдёт для начинающих багхантеров, поэтому даже если у вас мало опыта смело заглядывайте под кат!

Подробнее

Читайте также

От глиняной печати до одного клика: как человечество училось подписывать документы
13.04.2026 12:08:32 | Хабр

Адаптивные зеркала в оптоэлектронике: патентный анализ
13.04.2026 11:52:47 | Хабр

Можно ли запустить корпоративную BI+ETL-систему за 1,5 млн рублей? Часть 2: Modus ETL & Modus BI
13.04.2026 11:52:11 | Хабр

ИИ — это линза, которая усиливает сильных и ослабляет слабых
13.04.2026 11:51:09 | Хабр

Вынесение бизнес‑логики из BLoC в use‑cases: прагматичный взгляд на архитектуру Flutter
13.04.2026 11:46:04 | Хабр

В App Store появилось приложение «Цифровой сейф» с функциями «Газпромбанка»
13.04.2026 11:45:20 | vc.ru

«Яндекс» запустил сервис «Игромир» с облачным геймингом, магазином игровых товаров и пополнением аккаунтов
13.04.2026 11:34:30 | vc.ru

Нейросеть MiMo V2 Pro: обзор скрытого ИИ-монстра от Xiaomi
13.04.2026 11:34:17 | Хабр

Параллельное слияние чанков в Manticore Search
13.04.2026 11:18:50 | Хабр

SherlockOps, или как мы победили мониторинг
13.04.2026 11:15:54 | Хабр

Cloud.ru представила четыре новых ИИ-решения
13.04.2026 11:01:23 | it-world

[Перевод] Объясняем векторные базы данных на трех уровнях сложности
13.04.2026 11:00:54 | Хабр

Как школьная идея «списка желаний» превратилась в сервис на 70 000 пользователей
13.04.2026 10:46:32 | Хабр

Следственный комитет возбудил уголовное дело против Telegram-каналов «РынкиДеньгиВласть|РДВ», «Волк с Мосбиржи» и «Сигналы РЦБ» из-за «манипулирования фондовым рынком»
13.04.2026 10:37:00 | vc.ru

ТОП 5 нейросетей для генерации изображений: лучшие AI генераторы 2026 года
13.04.2026 10:35:14 | Хабр

Dart на бекенде: почему его бросила бывшая
13.04.2026 10:16:24 | Хабр

Умный дом за 5 минут. Гайд для электрика по AlphaSE и Яндекс Алисе
13.04.2026 10:15:33 | Хабр

Клонирование голоса: Как это работает и почему его боятся
13.04.2026 10:05:17 | Хабр

Пентест с помощью ИИ в России и материалы для сертификации по безопасности ИИ
13.04.2026 10:01:14 | Хабр

Лунное кольцо Shimizu: проект орбитального энергопояса мощностью в десятки тераватт
13.04.2026 10:00:11 | Хабр

Бренд работодателя: как превратить экспертизу сотрудников в главный рыночный актив
13.04.2026 09:56:42 | Хабр

Как музыка и IT пересеклись в моей жизни
13.04.2026 09:55:27 | Хабр

ИИ в атаках: почему сигнатуры умирают, а защита должна стать быстрее атакующего
13.04.2026 09:50:07 | Хабр

Китайский домовой существует в вашей сети, доказано Спецлабом
13.04.2026 09:49:27 | Хабр

Уволить всех – у нас появился ИИ
13.04.2026 09:45:59 | Хабр

Хроники Облачного княжества: как я приручал монолит‑дракона: Ночной алерт и инквизиция безопасности
13.04.2026 09:37:35 | Хабр

GIN‑индексы для JSONB в PostgreSQL: jsonb_ops vs jsonb_path_ops
13.04.2026 09:35:56 | Хабр

Книга про разработку под iOS на русском: разбираем единственный актуальный учебник по SwiftUI
13.04.2026 09:34:06 | Хабр

[Перевод] DuckDB как микро-хранилище: заменяем «ETL + Postgres» одним файлом, одним движком
13.04.2026 09:20:24 | Хабр

Особенности и ловушки модели памяти в Go: тайны синхронизации. Часть 1
13.04.2026 09:00:44 | Хабр

Практика автоматизации 1С — какие темы Инфостарт разбирает на апрельских вебинарах
13.04.2026 08:54:32 | Хабр

AI убивает Agile
13.04.2026 08:46:33 | Хабр

Динамическое ценообразование в E-grocery. Раскладываем по полочкам
13.04.2026 08:44:44 | Хабр

[Перевод] Microsoft включила Edge на всех компьютерах без спроса, и пользователи впали в ярость
13.04.2026 08:38:50 | Хабр

День 1510: экспорт российского ПО в 2025 году увеличился на 10% после стагнации в 2024-м и двухлетнего спада до этого
13.04.2026 08:37:02 | vc.ru

Смотреть все

НОВОСТИ

Патрушев: полевые работы ведут аграрии практически половины регионов
17.04.2026 15:08:29 | ТАСС

Людмила Бабушкина оценила темпы модернизации инфраструктуры в Свердловской области
17.04.2026 15:08:10 | ТАСС

В Приморье отменили решение о восстановлении полномочий депутата Шульги
17.04.2026 15:08:07 | ТАСС

Буря в Альбионе. Премьера Стармера все настойчивее призывают уйти в отставку
17.04.2026 15:08:00 | Российская Газета

Песков ответил на вопрос об обращении Бони к Путину
17.04.2026 15:07:09 | Lenta.ru

Экс-редактор федерального СМИ призвала бомбить Москву и отправилась в СИЗО
17.04.2026 15:07:04 | Lenta.ru

ТАСС: американский самолет-разведчик вновь летает над Черным морем
17.04.2026 15:06:13 | ТАСС

В России высказались о средствах для ударов по производителям дронов в Европе
17.04.2026 15:06:00 | Lenta.ru

ВСУ атаковали многоквартирный дом в регионе России
17.04.2026 15:05:39 | Lenta.ru

Лавров проводит встречу с главами МИД стран Центральной Азии. Видеотрансляция
17.04.2026 15:05:30 | ТАСС

Песков заявил о росте вовлеченности Европы в конфликт на Украине
17.04.2026 15:05:17 | Lenta.ru

В Перми начали производить волоконно-оптический кабель для подводных линий связи в Арктике
17.04.2026 15:05:09 | ТАСС

Ekonomim: первый энергоблок АЭС "Аккую" запустят в тестовом режиме в сентябре-октябре
17.04.2026 15:04:40 | ТАСС

Стоимость акций Netflix обрушилась
17.04.2026 15:04:24 | Lenta.ru

IATA: в Европе к концу мая начнут отменять авиарейсы из-за нехватки топлива
17.04.2026 15:04:11 | ТАСС

Адвокат Галич: на Украине работают более 10 тыс. мошеннических кол-центров
17.04.2026 15:03:59 | ТАСС

В Китае рассмотрят возможность допуска легкоатлетов РФ на свои турниры
17.04.2026 15:03:42 | ТАСС

Смоленский ХК "Славутич" выиграл домашние матчи финальной серии Кубка президента Беларуси
17.04.2026 15:03:31 | ТАСС

Решетников заявил о необходимости жесткой приоритизации в программах поддержки бизнеса
17.04.2026 15:03:27 | ТАСС

«Кошмарил три года»: Русского мэра в Колумбии уволили по наводке конкурента
17.04.2026 15:03:21 | Life.ru

Кабмин сохранил инструменты финансовой поддержки для сезонных полевых работ
17.04.2026 15:02:49 | ТАСС

В Индонезии лауреатами научной выставки стали 14 московских школьников
17.04.2026 15:02:34 | Life.ru

Решетников: вектором поддержки бизнеса является переход к развитию капитала
17.04.2026 15:02:28 | ТАСС

Решетников заявил о необходимости адаптации бизнеса к новым условиям
17.04.2026 15:02:07 | ТАСС

Салон пассажирского самолета заполнился дымом на рейсе на Канары
17.04.2026 15:02:00 | Lenta.ru

Москву предупредили о резком ухудшении условий
17.04.2026 15:01:48 | Lenta.ru

Регулятор Бангладеш выдал лицензию на запуск первого энергоблока АЭС "Руппур"
17.04.2026 15:01:29 | ТАСС

Еще одна страна выступила против платы за проход судов через Ормузский пролив
17.04.2026 15:00:42 | Lenta.ru

Переданные Киеву норвежские мины оказались неисправными
17.04.2026 15:00:20 | Lenta.ru

Мачо с кубиками, а толку ноль: Россиянкам назвали три маркера, которые выдают в мужчине скорострела
17.04.2026 15:00:07 | Life.ru

В Каховке при обстреле ВСУ разрушено здание кафе
17.04.2026 14:59:44 | ТАСС

ВСУ беспилотником атаковали дом в белгородском приграничье
17.04.2026 14:59:28 | ТАСС

Подавляющее большинство россиян выступили за ограничение соцсетей для подростков
17.04.2026 14:59:11 | Life.ru

Приняты первые решения по делу о нападении на букмекерскую контору во Владикавказе
17.04.2026 14:58:52 | Lenta.ru

Расходы Евросоюза на газ из России рухнули
17.04.2026 14:58:36 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro