为保障安全测试过程不影响线上业务,看云SRC对白帽子SSRF(Server-Side Request Forgery/服务端请求伪造)漏洞的测试及验证行为提供了SSRF测试平台,并作相关说明如下:
1.有回显ssrf:
http://10.13.50.28:5555/flag.html,若出现flag内容,说明存在有回显ssrf漏洞;
2.无回显ssrf:
http://10.13.50.28:5555/ssrf_forward?host=yourdnslog.domain,若你的yourdnslog.domain服务器收到请求,说明存在无回显ssrf漏洞,其中yourdnslog.domain为您可控的dnslog域名,使用时无需加http/https等协议,直接输入host即可。
3.在SSRF挖掘及漏洞验证过程中,严禁白帽子对内网发起扫描动作,看云SRC保留对相关违规行为进行追责的权利。
