聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
根据OWASP的定义,SSRF 攻击可使攻击者滥用服务器的功能来读或更新内部资源。OWASP 解释称,“攻击者可提供或修改代码在服务器上为读或提交数据而运行的 url,而且通过精心挑选这些url,攻击者能够读取服务器配置如 AWS 元数据、连接至内部服务如启用 http 的数据库、或者针对不可被暴露的内部服务执行 post 请求。”
SSRF Dashboard 提供了一个简单的接口,可使研究人员为目标创建唯一的内部端点 URL,之后了解它们的URL是否遭 SSRF 攻击。
除了这个生成的唯一 SSRF 尝试URL 外,该工具还展示创建日期、唯一ID号以及URL所接收到的点击次数。Facebook 表示,安全研究员能使用这款新工具,可靠地判断其 SSRF PoC 代码是否成功,因为只有成功的 PoC 才会接收到点击。Facebook 鼓励查找并发现 SSRF 漏洞的研究员,可在提交PoC 时一并包含 SSRF 尝试URL 的 ID 号码。
Facebook 公司表示,“SSR 漏洞是最难发现的漏洞之一,因为外部研究员无法直接检测服务器的易受攻击行为。“另外,Facebook 公司还给出了该工具及其用法的其它信息,以及关于该平台漏洞奖励计划的详情。
https://www.securityweek.com/facebook-introduces-new-tool-finding-ssrf-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Facebook 推出查找SSRF 漏洞的新工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论