专栏名称: 骨哥说事
关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。
今天看啥  ›  专栏  ›  骨哥说事

发现Facebook SSRF,收获31500美元赏金的故事【2】

骨哥说事  · 公众号  ·  · 2024-10-18 09:22
    

文章预览

声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文: https://gugesay.com/archives/3503 不想错过任何消息?设置星标 ↓ ↓ ↓ 书接上回,既然知道 MicroStrategy Web SDK 托管在 Facebook 的生产   服务器 上。而 MicroStrategy Web SDK 又是用 Java 编程语言编写的,那么就继续进行代码审计吧。 一晃26天过去了,“有趣”的东西也开始逐渐多了起来。 在“com.microstrategy.web.app.task.WikiScrapperTask”类中,可以观察到字符串“str1”是作为参数发送的用户提供的输入初始化的。 它将检查提供的字符串是否以 http://(或 https://)开头, 如果是,则调用函数“webScrapper”。 “webScrapper”函数将在内部使用 Jsoup 向提供的 URL 发送 GET 请求,从而用于获 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览