Facebook SSRF 儀表板允許尋找 SSRF 漏洞

Facebook 宣布設計了一個名為 SSRF Dashboard 的新工具，允許安全研究人員搜索服務器端請求偽造 (SSRF)漏洞。

服務器端請求偽造是一種 Web 安全漏洞，允許攻擊者誘導服務器端應用程序向攻擊者選擇的任意域發出 HTTP 請求。

“在典型的 SSRF 攻擊中，攻擊者可能會導致服務器連接到組織基礎設施內的內部服務。在其他情況下，他們可能會強制服務器連接到任意外部系統，從而可能泄露授權憑據等敏感數據。”

“這個工具是一個簡單的用戶界面，研究人員可以在其中生成唯一的內部端點 URL 以進行定位。然后，UI 將顯示由于 SSRF 嘗試而命中這些唯一 URL 的次數。研究人員可以利用該工具作為 SSRF 概念驗證的一部分，以可靠地確定他們是否成功。” 國家臉書。

SSRF 儀表板允許研究人員創建獨特的內部端點 URL，這些 URL 可以成為 SSRF 攻擊的目標，并確定它們是否已被攻擊。該工具允許研究人員測試他們的 SSRF 概念驗證 (PoC) 代碼。

滲透測試人員可以通過包含他們與 PoC 一起使用的 SSRF 嘗試 URL 的 ID 向公司報告任何 SSRF 平面。

可以在此處找到有關該實用程序的其他信息 。