| 首页 > 新闻公告 > 公告详情
360SRC SSRF漏洞测试说明
2021-11-01

为了方便大家测试SSRF漏洞,360SRC提供了以下验证方式:

1. 有回显SSRF:

直接请求http://10.229.2.9:5001/,若返回一段md5,则说明存在有回显SSRF漏洞;

2. 无回显SSRF:

请求http://10.229.2.9:5001/index?host=【dnslog】,若【dnslog】收到域名解析请求,说明存在SSRF无回显SSRF漏洞。


备注:

1.【dnslog】即ceye.io、dnslog.cn等外部服务;

2. 若测试成功,则基本上可确认存在SSRF漏洞;反之可能是网络限制等其他原因,存在漏报的可能,可尝试绕过或在漏洞报告中说明;

3. 对于测试过程或结果有任何疑问,可联系360SRC运营人员,请勿用作其他任何用途。