@MacDada: Nie do końca. Symlink może bowiem wskazywać na Twój tajny obrazek do którego nie mam dostępu, np. /home/user/tajny_obrazek.png (zakładam tutaj oczywiście, że serwer WWW ma uprawnienia do tego pliku no i musze znać jego nazwę).

Wtedy to po wypakowaniu i sprawdzeniu czy plik jest obrazkiem – jeśli dalej podążasz za dowiązaniami symbolicznymi – wyświetlisz swój plik użytkownikowi.

Dodatkowo sprawdzenie czy plik jest tylko obrazkiem i czy nie zawiera niczego złego niePokaż całość

@Blurope: Tak, będzie więcej materiałów o Javie.

@TheDudee: Podcast dostępny jest również na https://anchor.fm/kacperszurek/ co oznacza ze można go słuchać na Spotify, Apple Podcasts, Google Podcasts, Stitcher i kilku innych serwisach.

@yggdrasil: ssrf najlepiej jakąś zewnętrzną biblioteką, np: ssrf_filter
Trzeba tam bowiem pamiętać o przekierowaniach, które również mogą być niebezpieczne.
Regexpy powinny dać radę o ile używamy \A\z do zaznaczania początku i końca tekstu zamiast ^$
"|dir;\n[https://wykop.pl](https://wykop.pl)" =~ /^http/ działa bowiem bez problemów
Więcej: tu, tu i tu.

@CondomPack: Mirkolisty na pewno się pojawią jak tylko przestane być zielonką.

@tt_2: Nie musisz być programistą aby zostać pentesterem ponieważ w tej pracy człowiek styka się z różnymi językami programowania i ciężko być ekspertem w każdym z nich. Aczkolwiek warto znać przynajmniej jeden język chociażby po to aby tworzyć własne skrypty oraz dogłębnie zrozumieć na czym polega dana podatność.
Typy podatności są standardowe i podobne w każdym języku. Jeśli zrozumiesz na czym polega dany błąd – będziesz w stanie znaleźć goPokaż całość