本篇內(nèi)容主要講解“怎么使用SSRF-King在BurpSuite中實(shí)現(xiàn)自動(dòng)化SSRF檢測(cè)”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“怎么使用SSRF-King在BurpSuite中實(shí)現(xiàn)自動(dòng)化SSRF檢測(cè)”吧!

10余年的宜章網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整宜章建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)建站從事“宜章網(wǎng)站設(shè)計(jì)”,“宜章網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

SSRF-King

SSRF-King是一款針對(duì)BurpSuite的SSRF插件，在該工具的幫助下，廣大研究人員能夠針對(duì)所有的請(qǐng)求實(shí)現(xiàn)自動(dòng)化的SSRF檢測(cè)。

SSRF，即Server-side Request Forge服務(wù)端請(qǐng)求偽造，指的是由攻擊者構(gòu)造的攻擊鏈接傳給服務(wù)端執(zhí)行造成的漏洞，一般用來(lái)在外網(wǎng)探測(cè)或攻擊內(nèi)網(wǎng)服務(wù)。

功能介紹

測(cè)試所有外部交互的請(qǐng)求。

檢查是否有任何交互不是來(lái)源于用戶的IP，如果是的話，則開(kāi)放重定向。

提醒用戶發(fā)生了不安全的請(qǐng)求交互；

掃描選項(xiàng)支持被動(dòng)掃描和主動(dòng)掃描；

除此之外，該工具還會(huì)基于下列研究來(lái)執(zhí)行測(cè)試：

引用：https://portswigger.net/research/cracking-the-lens-targeting-https-hidden-attack-surface

GET http://burpcollab/some/endpoint HTTP/1.1

Host: example.com

...

或

GET @burpcollab/some/endpoint HTTP/1.1

Host: example.com

...

或

GET /some/endpoint HTTP/1.1

Host: example.com:80@burpcollab

...

或

GET /some/endpoint HTTP/1.1

Host: burpcollab

...

或

GET /some/endpoint HTTP/1.1

Host: example.com

X-Forwarded-Host: burpcollab

...

工具安裝&構(gòu)建

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地，并進(jìn)行項(xiàng)目構(gòu)建：

git clone https://github.com/ethicalhackingplayground/ssrf-king

gradle build

現(xiàn)在，我們將能夠在該項(xiàng)目的build/libs目錄下找到一個(gè)名為“ssrf-king.jar”的文件，我們接下來(lái)可以將其導(dǎo)入至BurpSuite之中。

或者，大家也可以直接訪問(wèn)該項(xiàng)目的【Releases】頁(yè)面來(lái)下載預(yù)編譯好的文件。

工具使用樣例

加載需要測(cè)試的網(wǎng)頁(yè)：

在BurpSuite中，將該站點(diǎn)添加進(jìn)主機(jī)地址范圍中：

加載功能插件SSRF-King：

記錄Burp Collab Payload：

被動(dòng)式爬取頁(yè)面內(nèi)容，SSRF-King將會(huì)實(shí)時(shí)測(cè)試請(qǐng)求中的所有內(nèi)容：

當(dāng)該工具插件發(fā)現(xiàn)安全漏洞之后，便會(huì)將信息記錄在日志中，并添加一個(gè)警告提醒：

在下面這個(gè)界面中，我們可以對(duì)利用參數(shù)來(lái)進(jìn)行SSRF模糊測(cè)試：

到此，相信大家對(duì)“怎么使用SSRF-King在BurpSuite中實(shí)現(xiàn)自動(dòng)化SSRF檢測(cè)”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

分享文章：怎么使用SSRF-King在BurpSuite中實(shí)現(xiàn)自動(dòng)化SSRF檢測(cè)
標(biāo)題路徑：http://www.ekvhdxd.cn/article34/jcgdse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、ChatGPT、微信小程序、Google、品牌網(wǎng)站制作、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)