autoSSRF：一款基于上下文的智能SSRF漏洞掃描工具

 關于autoSSRF 

autoSSRF是一款功能強大的智能化SSRF漏洞掃描工具，該工具基于上下文識別漏洞，并且適用于大規模掃描任務。跟其他自動化SSRF漏洞掃描工具不同的是，該工具提供了下列功能：

1、對相關SSRF GET參數進行智能化模糊測試

在進行模糊測試時，autoSSRF只會針對跟SSRF相關的常見參數進行測試，并且不會干擾其他功能。這樣就可以確保被測試的Web應用程序仍然可以正確地解析原始URL。

2、基于上下文的動態Payload生成

針對一個給定的URL（例如https://host.com/?fileURL=https://authorizedhost.com），autoSSRF將會把authorizedhost.com識別為一個Web應用程序中的潛在白名單主機，并基于已知信息動態生成Payload，然后嘗試繞過白名單驗證。此時將生成一些有趣的Payload，例如：

http://authorizedhost.attacker.com,http://authorizedhost%252F@attacker.com等等。

除此之外，該工具還會確保幾乎零誤報。該工具的檢測功能依賴于interactsh項目，因此autoSSRF能夠識別出站DNS/HTTP交互信息。

 工具下載 

該工具基于Python 3開發，因此我們首先需要在本地設備上安裝并配置好Python 3環境。接下來，使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/Th0h0/autossrf.git
（向右滑動，查看更多）

然后切換到項目目錄中，并使用pip和項目提供的requirements.txt來安裝該工具所需的依賴組件：

cd autossrfpip install -r requirements.txt

最后，安裝Interactsh-Client：

go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest
（向右滑動，查看更多）

工具使用 

查看工具幫助信息

python3 autossrf.py -h

上述命令將顯示工具的幫助信息：

usage: autossrf.py [-h] [--file FILE] [--url URL] [--output] [--verbose]
options:
  -h, --help            顯示工具幫助信息和退出
  --file FILE, -f FILE     包含所有需要測試的URL的文件路徑
  --url URL, -u URL     需要測試SSRF漏洞的單個URL地址
  --output, -o          輸出文件路徑
  --verbose, -v         激活Verbose模式
（向右滑動，查看更多）

掃描單個URL目標

python3 autossrf.py -u https://www.host.com/?param1=X&param2=Y&param2=Z