रिसर्च
Methodology
-
Agentic Security
Line jumping: कैसे एक ज़हरीला MCP tool उस model को हाईजैक कर लेता है जिसे कभी बुलाया ही नहीं गया
एक MCP tool का description, model के context में tools/list के समय ही लोड हो जाता है — tool के कभी invoke होने से पहले। यह एक protocol विवरण एक description field को prompt-injection payload में बदल देता है, जो तब भी चल जाता है जब user उस tool को कभी छूता तक नहीं। यहाँ इसकी कार्यप्रणाली, हमलों की श्रेणियाँ, और वह audit है जो इन्हें पकड़ता है।
-
Bug Class Deep Dives
single-packet attack से वेब race conditions को जीतना
किसी race condition का exploit window अक्सर sub-millisecond होता है, लेकिन आपके requests के बीच का network jitter 1-10ms होता है — इसलिए वे serialize हो जाते हैं और bug मरा हुआ दिखता है। single-packet attack उस jitter को शून्य पर ले आता है। यहाँ इसका तंत्र, गणित, और यह कहाँ फल देता है, समझाया गया है।
-
Bug Class Deep Dives
आसान फ़िल्टरों को पार करते हुए SSRF: URL-parser की उलझन और metadata endpoint
allowlist और HTTP client आपके URL को अलग-अलग तरीके से parse करते हैं — यही अंतर वह जगह है जहाँ आधुनिक SSRF रहती है। यहाँ हैं ठीक-ठीक parser-confusion payloads, container के भीतर से IMDSv2 का token नृत्य, gopher-to-Redis RCE श्रृंखला, और यह क्यों कि आप इसकी पुष्टि out-of-band करते हैं, response body में नहीं।
-
Bug Class Deep Dives
IDOR दूसरे identifier में छिपा होता है: दो-अकाउंट Shadow Replay से BOLA खोजना
हर कोई URL path के ID को fuzz करता है; लेकिन path वाला ID आमतौर पर वही होता है जिसे app असल में जाँचता है। Access-control bug body के account_id में, node(id:) resolver में, async PDF job में, और उस PUT में छिपा है जो आपने कभी भेजा ही नहीं। यहाँ बताया गया है कि BOLA असल में कहाँ रहता है और दो accounts में इसे कैसे diff करें।
-
Agentic Security
Indirect prompt injection एजेंट युग का SSRF है
SSRF तब होता है जब कोई server किसी attacker के URL को fetch करता है और response पर भरोसा कर लेता है। Indirect prompt injection तब होती है जब कोई agent attacker की सामग्री को पढ़ता है और उसे instructions मानकर भरोसा कर लेता है। एक ही गुम सीमा — data और control के बीच — यहाँ ठीक-ठीक gadgets हैं, वे encodings जो filters को मात देती हैं, और यह भी कि 'ignore previous instructions' सालों पहले काम करना क्यों बंद कर चुका है।