Facebook SSRF 仪表板允许寻找 SSRF 漏洞

Facebook 宣布设计了一个名为 SSRF Dashboard 的新工具，允许安全研究人员搜索服务器端请求伪造 (SSRF)漏洞。

服务器端请求伪造是一种 Web 安全漏洞，允许攻击者诱导服务器端应用程序向攻击者选择的任意域发出 HTTP 请求。

“在典型的 SSRF 攻击中，攻击者可能会导致服务器连接到组织基础设施内的内部服务。在其他情况下，他们可能会强制服务器连接到任意外部系统，从而可能泄露授权凭据等敏感数据。”

“这个工具是一个简单的用户界面，研究人员可以在其中生成唯一的内部端点 URL 以进行定位。然后，UI 将显示由于 SSRF 尝试而命中这些唯一 URL 的次数。研究人员可以利用该工具作为 SSRF 概念验证的一部分，以可靠地确定他们是否成功。” 国家脸书。

SSRF 仪表板允许研究人员创建独特的内部端点 URL，这些 URL 可以成为 SSRF 攻击的目标，并确定它们是否已被攻击。该工具允许研究人员测试他们的 SSRF 概念验证 (PoC) 代码。

渗透测试人员可以通过包含他们与 PoC 一起使用的 SSRF 尝试 URL 的 ID 向公司报告任何 SSRF 平面。

可以在此处找到有关该实用程序的其他信息 。