FixVibe
Covered by FixVibehigh

Rangahau Whakaraeraetanga: SSRF me te Tautukunga Pane Haumarutanga

Ka tirotirohia e tenei tuhinga rangahau te Tiaki Tiaki Taha-Tumau (SSRF) me te hiranga o te hanganga ture pane a HTTP. Ma te whakamahi i nga tirohanga mai i PortSwigger me Mozilla, ka tirotirohia me pehea te karapa aunoa i te tautuhi i enei whakaraeraetanga me te pehea e taea ai e FixVibe te whakamahi i nga kaha rapunga rite.

CWE-918

Paanga

Ko te Tiaki Tono Taha-Tumau (SSRF) he whakaraeraetanga nui e taea ai e te kaitukino te akiaki i tetahi tono taha-tumau ki te tuku tono ki tetahi waahi koretake [S1]. Ka taea e tenei te arai atu ki te purongo o nga ratonga o roto tairongo, te uru kore mana ki nga tohu mutunga metadata kapua, te maataki ranei i nga papangaahi whatunga [S1].

Take Putake

Ko te SSRF te nuinga ka puta i te wa e tukatuka ana tetahi tono i nga URL kua tukuna e te kaiwhakamahi me te kore e tika te whakamana, ka taea te whakamahi i te tūmau hei takawaenga mo nga tono kino [S1]. I tua atu i nga kohakore kaha, ka kaha te awe o te noho haumarutanga o tetahi papanga e ana whirihoranga pane pane HTTP [S2]. I whakarewahia i te tau 2016, kua tātarihia e Mozilla's HTTP Observatory neke atu i te 6.9 miriona paetukutuku hei awhina i nga kaiwhakahaere ki te whakapakari i o raatau parepare ki enei whakatumatuma noa ma te tautuhi me te whakatika i nga whakaraeraetanga haumarutanga pea [S2].

Me pehea te whakamatautau a FixVibe

Ko te FixVibe kua hipokina nga waahanga e rua o tenei kaupapa rangahau:

  • Kuati SSRF whakau: active.blind-ssrf ka rere noa i roto i nga karapa hohe manatoko. Ka tukuna e ia nga canaries waea-a-waho ki roto i nga tawhā-ahua URL me nga pane e pa ana ki te SSRF i kitea i te wa ngoki, katahi ka ripoatahia te take ina whiwhi a FixVibe i tetahi waea waea kua herea ki taua karapa.
  • Whakaaetanga pane: headers.security-headers ka taki wahangu i nga pane whakautu a te pae mo nga mana whakakaha tirotiro tirotiro e whakanuia ana e nga arotake ahua Observatory, tae atu ki te CSP, HSTS, Kōwhiringa-X-FXCV, X-FXCVFIXVIBETOKEN1ZXCV Kaupapa-Referrer, me te Kaupapa-Whakaaetanga.

Ko te tirotiro SSRF e kore e tono tono kino, uru whakamotuhēhē rānei. Ka horahia ki nga whaainga kua manatokohia me te whakaatu i nga taunakitanga waea whakahoki mai i te whakapae mai i nga ingoa tawhā anake.