قسمت اول: شبی که امیر، دانشآموز سال دوم دبیرستان، از پشت یک ربات به حریم یک سایت دولتی نزدیک شد...
امیر برنامهنویسی بلد نبود، اما مفهوم «درخواست جعلی سمت سرور» را از یک ویدیو یوتیوبی فهمیده بود. همان شب، یک ابزار متنباز به اسم SSRFmap را در گیتهاب پیدا کرد. نیازی به نصب نبود، فقط یک لینک. آدرس سامانه استعلام یک سازمان دولتی را در آن وارد کرد. این سامانه به کاربران اجازه میداد آدرس تصویر پروفایل خود را از یک لینک خارجی بارگذاری کند. امیر به جای آدرس عکس، آدرس داخلی سرور سازمان را نوشت. سامانه بیخبر درخواست را فرستاد و پاسخ را برگرداند. امیر ظرف چند دقیقه، کلید دسترسی به سرور ابری سازمان را در خروجی یک متن ساده دید. با همان کلید، توانست لیست کاربران را دانلود کند. نه رمز شکست، نه کلیک فیشینگ، نه بدافزار. فقط یک درخواست ساده که نباید فرستاده میشد.
