Ssrf — различия между версиями
Материал из InformationSecurity WIKI
Drakylar (обсуждение | вклад) м |
Drakylar (обсуждение | вклад) м |
||
| Строка 1: | Строка 1: | ||
| − | SSRF(Server-Side Request Forgery) - это | + | SSRF(Server-Side Request Forgery) - это (определение) |
| + | (общий принцип уязвимости) | ||
==Поиск== | ==Поиск== | ||
| + | |||
| + | (по каким признакам можно найти) | ||
==Эксплуатация== | ==Эксплуатация== | ||
| − | ===Префикс http(s)=== | + | (что требуется для эксплуатации - что не должно фильтроваться) |
| + | |||
| + | ===Помощь при эксплуатации=== | ||
| + | |||
| + | (обьяснение для чего нужны префиксы - кратко!) | ||
| + | ====Префикс http(s)==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====Префикс file==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====Префикс tftp==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====Префикс gopher==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====Префикс dict==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====Префикс rtsp==== | ||
| + | |||
| + | (обьяснение с примером) | ||
| + | |||
| + | ====(добавь еще префиксов)==== | ||
| + | |||
| + | ===Вектора атак=== | ||
| + | |||
| + | |||
| − | === | + | ====Чтение локальных файлов==== |
| − | + | (перечисляешь способы) | |
| − | === | + | ====Скачивание файлов==== |
| − | === | + | (перечисляешь способы - не знаю точно возможен ли данный вектор) |
| + | |||
| + | ====Подключение к сервисам за фаерволом==== | ||
| + | |||
| + | (перечисляешь способы) | ||
| + | |||
| + | |||
| + | |||
| + | ====Сканирование портов==== | ||
| + | |||
| + | (перечисляешь способы + скрипты реализации) | ||
| + | |||
| + | |||
| + | ==Особенности ПО== | ||
| + | |||
| + | ===Curl=== | ||
| + | |||
| + | (что поддерживает) | ||
| + | |||
| + | ===Requests=== | ||
| + | |||
| + | (что поддерживает) | ||
| + | |||
| + | ===(добавь свое - например робобраузеры)=== | ||
| − | |||
==Примеры из тасков== | ==Примеры из тасков== | ||
| + | |||
| + | (примеры использования каких то векторов) | ||
==Райтапы== | ==Райтапы== | ||
| + | |||
| + | (ссылки) | ||
==Полезные ссылки== | ==Полезные ссылки== | ||
| + | |||
| + | (ссылки) | ||
Версия 15:25, 24 февраля 2017
SSRF(Server-Side Request Forgery) - это (определение)
(общий принцип уязвимости)
Содержание
Поиск
(по каким признакам можно найти)
Эксплуатация
(что требуется для эксплуатации - что не должно фильтроваться)
Помощь при эксплуатации
(обьяснение для чего нужны префиксы - кратко!)
Префикс http(s)
(обьяснение с примером)
Префикс file
(обьяснение с примером)
Префикс tftp
(обьяснение с примером)
Префикс gopher
(обьяснение с примером)
Префикс dict
(обьяснение с примером)
Префикс rtsp
(обьяснение с примером)
(добавь еще префиксов)
Вектора атак
Чтение локальных файлов
(перечисляешь способы)
Скачивание файлов
(перечисляешь способы - не знаю точно возможен ли данный вектор)
Подключение к сервисам за фаерволом
(перечисляешь способы)
Сканирование портов
(перечисляешь способы + скрипты реализации)
Особенности ПО
Curl
(что поддерживает)
Requests
(что поддерживает)
(добавь свое - например робобраузеры)
Примеры из тасков
(примеры использования каких то векторов)
Райтапы
(ссылки)
Полезные ссылки
(ссылки)
