声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

文章首发于个人博客：https://mybeibei.net，由于公众号外链限制，已无法通过点击下方“阅读原文”跳转查看，请手动访问。

前言

发现漏洞的过程可能很漫长，但最终的结果往往是值得的～

发现

首先我会从 Hackerone 的项目中收集一些相关的业务信息，然后定期进行 Web 漏洞 和 IDOR 测试，uuid 通常会作为用户身份验证的最常用参数，但由于身份验证和过滤器的存在，发现几乎很少能有机会。

遇到困难不可怕，一定要记得检查 Burpsuite 中的 HttpHistory，有时候你可能错过的敏感请求。

POST/agw/graphql?op=UrlReachableVerifierQuery&client_trace_id=09bee58d-8358-4f00-acc0-
8d26d0018d32,rst:1678201703792HTTP/1.1
Host:xxxxx
Cookie:xxxx
User-Agent:Mozilla/5.0 (Macintosh; IntelMacOSX10.15; rv:109.0) Gecko/20100101
Firefox/110.0
Accept:*/*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Authorization: xxxxx
Content-Length: 386
Origin: https://xxxxx
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
Te: trailers
Connection: close
{"operationName":"UrlReachableVerifierQuery","variables":{
"url":"http://xxxx.com/"},"query":"query UrlReachableVerifierQuery($url: String!) {n
verifyUrlReachable(url: $url) {n
... on UrlReachableResult {n
__typenamen }n ... on GenericError {n
__typenamen }n __typenamen

上面是一个典型的graphql的请求数据，但是细心的读者可能会发现，这是一条较为“敏感”的请求。

寻找盲SSRF

原文始发于微信公众号（骨哥说事）：如何在H1项目中发现SSRF