这是用 Go 编写的 SSRF sheriff。它最初是为Uber H1-4420 2019 伦敦现场黑客活动创建的,但现在它已开源,供其他组织实施和回馈。
特征
- 响应任何 HTTP 方法(
GET、、、、POST等等PUT)DELETE - 可配置秘密令牌(参见base.example.yaml)
- 针对特定内容的响应
- 响应主体中包含秘密令牌
- JSON
- XML
- HTML
- CSV
- TXT
- 巴布亚新几内亚
- JPEG
- 响应主体中没有 token
- 动态图片
- MP3
- MP4
- 响应主体中包含秘密令牌
用法
go get github.com/teknogeek/ssrf-sheriff cd $GOPATH/src/github.com/teknogeek/ssrf-sheriff cp config/base.example.yaml config/base.yaml # ... configure ... go run main.go
示例请求:
明文
$ curl -sSD- http://127.0.0.1:8000/foobar
HTTP/1.1 200 OK
Content-Type: text/plain
X-Secret-Token: SUP3R_S3cret_1337_K3y
Date: Mon, 14 Oct 2019 16:37:36 GMT
Content-Length: 21
SUP3R_S3cret_1337_K3y
XML
$ curl -sSD- http://127.0.0.1:8000/foobar.xml
HTTP/1.1 200 OK
Content-Type: application/xml
X-Secret-Token: SUP3R_S3cret_1337_K3y
Date: Mon, 14 Oct 2019 16:37:41 GMT
Content-Length: 81
<SerializableResponse><token>SUP3R_S3cret_1337_K3y</token></SerializableResponse>
待办事项
- 动态生成有效响应,其中秘密令牌可见
- 动态图片
- MP3
- MP4
- HTTP 响应中的机密会根据每个请求生成/创建/签名,而不是为所有请求返回单个机密
- TLS 支持
国内下载链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
