Для поиска SSRF на сайте можно воспользоваться инструментом под названием SSRFire. Просто укажите доменное имя сайта, адрес своего сервера (или Burp Collaborator) и ждите результатов.
Также есть опции для поиска XSS и Open Redirect. Для работы инструмента требуются установленные Python 3.7+ и GO.
#Web #XSS #SSRF
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14👎2
Инструмент для поиска SSRF, главными особенностями которого является фаззинг наиболее подходящих GET параметров (
?url=, ?uri=, и тд) и динамическая генерация полезной нагрузки в зависимости от контекста.Например, для URL:
https://host.com/?fileURL=https://authorizedhost.com, инструмент распознает хост authorizedhost.com как потенциально внесенный в белый список и динамически сгенерирует полезные нагрузки на основе этого:https://authorizedhost.attacker.com
https://authorizedhost%[email protected]
и т.д.
#web #ssrf
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10