SSRF扫描工具汇总记录

已于 2024-01-12 17:22:57 修改
阅读量477 收藏
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 渗透工具 文章标签: 安全 运维
于 2024-01-11 18:20:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/135535766
本文介绍了SSRF漏洞的基本概念、常见位置,以及三种工具——SSRFmap、extended-ssrf-search和Gopherus的详细信息,包括它们的优缺点和使用方法。SSRFmap适合端口扫描和文件读取,但需要已知URL参数;extended-ssrf-search提供参数过滤,可进行盲扫;Gopherus专注于生成Gopher有效载荷实现RCE。结合使用能有效提升SSRF漏洞扫描效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

漏洞简单描述

常出现的位置

工具介绍

SSRFmap

介绍

输入参数

帮助

使用方法

缺点

工具地址

extended-ssrf-search

介绍

使用

优点

缺点

工具地址

Gopherus

介绍

工具总结

漏洞简单描述

由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的目标是从外网渗透到无法访问的内部系统。

服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

常出现的位置

  • 远程图片下载
  • 加载远程文件
  • 离线下载
  • 远程头像
  • 网页翻译
  • 等等需要服务器发起请求的地方

工具介绍

SSRFmap

介绍

SSRF经常被用来利用其他服务上的操作,这个框架旨在轻松地发现和利用这些服务。SSRFmap接受Burp请求文件作为输入,并接受一个参数进行模糊处理

了解本专栏 订阅专栏 解锁全文
SSRF工具类-SsrfTool
兴趣是最好的老师
09-23 189
为了帮助开发人员和安全研究人员检测和修复SSRF(Server-Side Request Forgery)漏洞,存在。这里我将给出一个简单的工具类示例,这个工具类可以用来检查一个给定的URL是否可。能引发SSRF攻击。请注意,这个工具类主要用于教育目的,并不意味着它可以完全防止所有的。这个工具类将包含两个主要的方法:一个用于验证URL的安全性,另一个用于尝试通过。在生产环境中,应使用更复杂和全面的安全措施。RestTemplate发送请求,并捕获任何异常。
SSRF工具
mingyqf的博客
11-06 1292
Gopherus - https://github.com/tarunkant/Gopherus Gopherus可以帮助我们直接生成Gopher payload,以利用SSRF(服务器端请求伪造)并获得RCE(远程代码执行), 常用的还有以下两个工具 SSRFmap - https://github.com/swisskyrepo/SSRFmap shellver - https://github.com/0xR0/shellver ......
SSRFmap 使用教程
最新发布
gitblog_01081的博客
04-08 853
SSRFmap 使用教程 SSRFmap Automatic SSRF fuzzer and exploitation tool 项目地址: https://gitcode.com/gh_mirrors/ss/SSRFmap ...
autoSSRF:一款基于上下文的智能SSRF漏洞扫描工具
FreeBuf_的博客
11-18 506
autoSSRF基于上下文识别漏洞,并且适用于大规模扫描任务。
渗透工具SSRFIRE:​自动 SSRF 查找器。
学习、分享、交流
04-26 612
​ 自动SSRF查找器。只需提供域名和您的服务器,然后放松一下!;)它还具有查找XSS和打开重定向的选项。 ​
检测SSRF漏洞的工具
weixin_68416970的博客
09-04 1173
为了检测服务器端请求伪造(SSRF)漏洞,可以使用多种工具。:这是一个由@swisskyrepo开发的自动SSRF漏洞扫描和利用工具,它可以自动对特定目标进行漏洞扫描,并尝试利用发现的漏洞。:这是一个功能强大的自动化Web应用程序漏洞检测工具,它结合了ParamSpider和Nuclei,支持检测SSRF等多种Web漏洞。:这是一个专为现代云环境设计的工具,用于检测和过滤潜在的SSRF目标,支持高效扫描和智能分析。
网络安全工具汇总
Hacker_xingchen的博客
02-07 719
https://github.com/We5ter/Scanners-Box/tree/master/Find_webshell/(php后门检测,脚本较简单,因此存在误报高和效率低下的问题)以下内容来自:https://github.com/We5ter/Scanners-Box/blob/master/README_CN.md。https://github.com/3xp10it/mytools/blob/master/xcdn.py(获取cdn背后的真实ip)
Swagger API漏洞扫描工具:接口测试与安全分析
Swagger API漏洞利用工具是一个专门针对Swagger REST API设计的安全漏洞扫描工具,它可以让安全研究人员或者渗透测试人员快速发现API接口存在的安全问题。以下是该工具的一些主要功能和作用: - 遍历所有API接口并...
渗透测试基础知识点汇总
qiangulf的博客
11-10 799
目录WEB面试题网络网络和协议基础网络windows命令net和桥接和仅主机的区别什么是IP地址IP地址由哪两个部分组成OSI七层模型OSI七层模型中每一层对应的设备是什么TCP三次握手和四次挥手TCP&UDP的区别ABC类IP地址HTTP协议和HTTPS协议的区别TLS是什么DNS协议,DNS解析的流程GET与POST区别Web网站组成系统命令基础LinuxLinux 发行版本目录Linux 命令Linux 命令三剑客什么是CSS常用windows命令服务你搭建过哪些服务?web服务的日志路径在什么地方d
史上最全网络安全面试题汇总 ! !
网安技术分享
08-04 9908
php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗透工具有哪些,最常用的是哪个? burp、nmap、sqlmap、awvs、蚁剑、冰蝎、dirsearch、御剑等等 xs
SSRF
jpygx123的博客
10-11 1014
SSRF 服务器端伪造请求,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞,一般情况下,SSRF攻击的目标是从外网无法访问的内部系统,正式因为它是由服务端发起的,所以它能够请求到与他相连而与外网隔离的内部系统。 SSRF形成的原因大都由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片、下载等等。 html、ph...
SSRFTest:SSRF测试工具
05-04
欢迎来到SSRFTest 安装 克隆仓库 生成一个随机的64字节ASCII字符串(我通常只运行import random; ''.join('x' % random.randrange(256) for i in xrange(32))在Python解释器中,对import random; ''.join('x' % random.randrange(256) for i in xrange(32)) )) 将该字符串放入app.secret_key app.secret_key = key = 'SECRET HERE'行上的app.secret_key = key = 'SECRET HERE' (可选)在docker-compose.yml和model.py中更改数据库密码-默认为dbpassword 。 这没有暴露在外面,所以基本上无关紧要 搜索ssrftest.c
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
CSRFScanner:Python CSRF漏洞扫描
05-06
CSRFScanner v1.0 Python CSRF漏洞扫描器 描述 CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中找到更多说明。 要求 Python> = 2.6 用法 python main.py [-R] URL Cookie -R是一个可选参数,用于跟随内部链接以扫描整个网站。 URL是要扫描的网页 Cookie是要发送以进行身份​​验证的Cookie。 可以使用Wireshark之​​类的工具,Burp或Webscarab之类的Web代理,TamperData之类的Web浏览器扩展来查看...
SSRFmap:自动SSRF模糊处理和开发工具
02-04
SSRF地图 SSRF通常用于利用对其他服务的操作,此框架旨在轻松查找和利用这些服务。 SSRFmap将Burp请求文件作为输入和fuzz的参数。 服务器端请求伪造或SSRF是一个漏洞,攻击者在其中迫使服务器代其执行请求。 概要 模组 以下模块已经实现,可以与-m参数一起使用。 名称 描述 fastcgi FastCGI RCE redis Redis RCE github Github Enterprise RCE <2.8.7 zabbix Zabbix RCE mysql MySQL命令执行 docker 通过API的Docker Infoleaks smtp
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
【网络安全 | 渗透工具】自动化SSRF工具autossrf
等风来
03-01 1038
这确保了被测试的 Web 应用仍能正确解析原始 URL,而不像某些工具那样盲目添加查询参数,可能导致 URL 解析异常。autoSSRF 是我们在大规模识别 SSRF 漏洞方面的最佳助手。与其他 SSRF 自动化工具不同,该工具具有以下两个独特功能。,能够精准识别外带(OOB)DNS/HTTP 交互,从而确保 SSRF 漏洞的可靠发现。可能是 Web 应用的白名单主机,并基于此动态生成绕过白名单验证的有效负载。在进行模糊测试时,autoSSRF 仅关注常见的 SSRF 相关参数(如。
Jira-Scan:一款强大的SSRF漏洞扫描工具
gitblog_00748的博客
09-25 968
Jira-Scan:一款强大的SSRF漏洞扫描工具 项目地址:https://gitcode.com/gh_mirrors/ji/Jira-Scan 项目介绍 Jira-Scan 是一款专门针对Jira软件的SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞进行扫描的开源工具。该工具由Python 3编写,旨在帮助安全研究人员和开发人员快速识别和修复Jira系...
SSRF被动检测插件-ssrf-king(一)
SuperherRo的博客
09-01 2456
一款好用的SSRF被动检测插件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值