聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
上周四,Facebook 公司发布了一款新工具 “SSRF Dashboard“ ,旨在帮助安全研究员查找服务器端请求伪造漏洞。
根据OWASP的定义,SSRF 攻击可使攻击者滥用服务器的功能来读或更新内部资源。OWASP 解释称,“攻击者可提供或修改代码在服务器上为读或提交数据而运行的 url,而且通过精心挑选这些url,攻击者能够读取服务器配置如 AWS 元数据、连接至内部服务如启用 http 的数据库、或者针对不可被暴露的内部服务执行 post 请求。”
SSRF Dashboard 提供了一个简单的接口,可使研究人员为目标创建唯一的内部端点 URL,之后了解它们的URL是否遭 SSRF 攻击。
除了这个生成的唯一 SSRF 尝试URL 外,该工具还展示创建日期、唯一ID号以及URL所接收到的点击次数。Facebook 表示,安全研究员能使用这款新工具,可靠地判断其 SSRF PoC 代码是否成功,因为只有成功的 PoC 才会接收到点击。Facebook 鼓励查找并发现 SSRF 漏洞的研究员,可在提交PoC 时一并包含 SSRF 尝试URL 的 ID 号码。
Facebook 公司表示,“SSR 漏洞是最难发现的漏洞之一,因为外部研究员无法直接检测服务器的易受攻击行为。“另外,Facebook 公司还给出了该工具及其用法的其它信息,以及关于该平台漏洞奖励计划的详情。
推荐阅读
Facebook 开源 Instagram 的Python 代码静态安全分析工具 Pysa
原文链接
https://www.securityweek.com/facebook-introduces-new-tool-finding-ssrf-vulnerabilities
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
