1branch0tags Go to file Code Clone HTTPSGitHub CLI Download ZIP This branch is4 commits behindjdonsec:master. AllThingsSSRF This is a collection of writeups, cheatsheets, videos, related to SSRF in one single location This is currently work in progress I will add more resources as I find ...
SSRF Proxy facilitates tunneling HTTP communications through servers vulnerable to Server-Side Request Forgery SSRF via Request Splitting https://www.rfk.id.au/blog/entry/security-bugs-ssrf-via-request-splitting/ Overly Permissive Proxy https://www.nginx.com/blog/trust-no-one-perils-of-trusting-user...
12、编码处理, 属性信息处理,文件处理(比如ffpmg,ImageMagick,docx,pdf,xml处理器等) 13、从远程服务器请求资源(upload from url 如discuz!;import & expost rss feed 如web blog;使用了xml引擎对象的地方 如wordpress xmlrpc.php) 14、从URL关键字中寻找 share wap urllinksrcsourcetarget u 3g display source...
https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html 文件上传 替换正在上传中的 input type 为 URL,同时检查是否服务器会请求这个 url 的值。如 代码语言:javascript 复制 改成 代码语言:javascript 复制 同时传递一个 URL 参考: https://hackerone.com/reports/713 视频转换 有...
恶意客户端代码会对原始域名(例如attacker.com)进行额外访问。这些都是由同源政策所允许的。但是,当受害者的浏览器运行该脚本时,它会为该域创建一个新的DNS请求,并且攻击者会使用新的IP地址进行回复。例如,他们可以使用内部IP地址或互联网上某个目标的IP地址进行回复。 via: 《DNS 重新绑定攻击》 ...
via: 《DNS 重新绑定攻击》 简单来说就是利用 DNS 服务器来使得每次解析返回不同的 IP,当在校验 IP 的时候 DNS 解析返回合法的值,等后续重新请求内容的时候 DNS 解析返回内网 IP。这种利用了多次DNS 解析的攻击方式就是 DNS 重新绑定攻击。 由于DNS 重新绑定攻击是利用了多次解析,所以我们最好将校验和抓取两次...
https://github.com/neex/gifoeb https://youtu.be/tZil9j7TTps 本文翻译自:https://medium.com/@valeriyshevchenko/ssrf-vulnerability-via-ffmpeg-hls-processing-f3823c16f3c7如若转载,请注明原文地址:https://www.4hou.com/vulnerable/17325.html
[ ] https://infosecwriteups.com/easy-premium-account-access-and-admin-role-escalation-via-object-manipulation-in-the-server-619d325ab66 [ ] https://infosecwriteups.com/remote-code-execution-via-exif-data-12f7d3cee827 [ ] https://infosecwriteups.com/how-i-made-15-000-by-hacking-...
https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html 文件上传 尝试将输入类型更改为URL,并检查服务器是否向其发送请求。 至 并传递URL 例子:https://hackerone.com/reports/713 视频转换 有许多应用程序使用过时版本的ffmpeg将视频从一种...
Fork232 Star1.2k MIT license starsforks NotificationsYou must be signed in to change notification settings Code Issues1 Pull requests1 Actions Projects Security Insights Additional navigation options 1Branch0Tags Latest commit jdonsec Merge branch 'master' ofhttps://github.com/jdonsec/AllThingsSSRF ...