一则SSRF漏洞的故事

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 背景介绍 该项目为一个云银行平台，使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin ，他们在这两个权限之中发现了另外两个漏洞，但他们对Process（进程）功能更感兴趣。 顾名思义，该功能允许用户创建一个或一组任务，在它满足用户指定的条件后执行，例如，在x等于y之后执行某件事等。 其中一项任务称为API调用，因此该功能值得对其进行 SSRF 测试。将任务添加到流程后，可以指定主机和方法： 为了快速测试，白帽小哥尝 ………………………………