HanDs
管理员

[7月漏洞公开] 百度某处SSRF可漫游内网 



好久没有提交过漏洞了,今来打个卡吧~

详细说明:

漏洞在站长工具 - 移动专区 - 移动友好度



http://zhanzhang.baidu.com/mf/index?site=http://baidu.com



点击“一键检测”,就会在他们的移动终端浏览器访问且截图返回给你



虽然他在这里对网址做了一点限制

F0EIQE@7CQ%{NFVT[(5BBT8.png



然而这并没有什么luan用



我在我的网站里放一个文件 嵌入百度的内网地址 然后再检测我网站里的那个文件

GS15`8]Y92T7_1LQEPLUHA5.png



W2M8@[KR$U9L[Z0O471${VK.png



DX[IB2WDCI~@CZ45W0LE%@O.png



2OUX`%(KYP~BV}WYCGCF942.png



@[IDUX0}43D725`0{GVCA%W.png



FVX2D9(F5P])8%@SI5WQ7`6.png

通过UA得知是iOS8系统

前段时间的那个可以让多数浏览器崩溃让iPhone注销的漏洞要是去检测一下 可能就会导致终端注销,拒绝服务

`OSPFGC1B14DI2]3L~S17UR.png



漏洞证明:

`OSPFGC1B14DI2]3L~S17UR.png

修复方案:


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
百度 某处 S SR F 漫游
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复