https://security.alibaba.com/announcement/announcement?spm=0.0.0.0.JpXPhv&id=190
为方便大家测试SSRF漏洞,避免过多的误报,ASRC为白帽子提供了SSRF漏洞验证方式:
1. 有回显SSRF:
直接请求http://www.asrctest.com/ssrf.html,若返回“It works. ”说明存在有回显SSRF漏洞;
2. 无回显SSRF:
请求http://www.asrctest.com/ssrf.html?dnslog=your.Domain,若your.Domain收到域名解析请求,说明存在SSRF无回显SSRF漏洞。
新增测试接口(请优先使用上面的接口测试):
1. 有回显SSRF:
直接请求http://ssrf.asrctest.com/,若返回标题为“ASRC测试站xxxxxx”及内容包含关键字“ewScgt51auzKg”的页面,说明存在有回显SSRF漏洞;
2. 无回显SSRF:
请求http://ssrf.asrctest.com/ssrf?dnslog=your.Domain,若your.Domain收到域名解析请求,说明存在SSRF无回显SSRF漏洞。
详细说明:
1. your.Domain可为您自己的域名,或ceye.io、dnslogn.cn等外部服务;
2. your.Domain仅允许字母、数字和“.”, 最长允许30个字符,请勿带协议信息及其他特殊字符,如http://、!@#$%^&*等,不支持HTTPS协议。样例:ssrf.mytestdoamin.com,ssrf.dnslog.cn。
3. SSRF防护绕过的测试,请仅在www.asrctest.com处测试。
4. 请注意判断您的域名请求记录是否由测试服务器发出,以避免误报。
5. 一些线上流量分析、安全检测等工具可能会造成少量误报。
有效性说明:
- 若通过此接口测试成功,则基本上可确认存在生产网SSRF漏洞;
- 若测试不成功,也有可能是因为工具限制、网络限制或其他原因,存在漏报的可能,请尝试是否能绕过。
注意事项:
1. 严禁通过此测试服务器对阿里内网进行任何形式的扫描或攻击;
2. 请勿对asrctest.com域名本身做任何形式的攻击或测试;
3. 本测试仅适用于阿里巴巴集团生产网环境,其他如阿里公有云上业务等可能存在无法验证的情况;
4. 对于测试过程或结果有任何疑问,可联系ASRC运营人员;
5. 以上测试仅针对ASRC白帽子测试SSRF漏洞时使用,请勿用作其他任何用途。
若有收获,就点个赞吧
0 人点赞
