Инструменты для автоматизации SSRF

Инструменты автоматизации SSRF

Мы уже рассказывали про лучшие инструменты для автоматизации атак на JWT. Сегодня познакомлю вас с инструментами для автоматизации SSRF.

Еще по теме: 5 часто используемых SSRF нагрузок

Что такое SSRF

SSRF, или Server-Side Request Forgery (фальсификация запросов с сервера), это тип уязвимости в веб-приложениях, при которой злоумышленник может отправлять запросы с сервера на другие внутренние или внешние ресурсы, обходя ограничения безопасности. Это может позволить атакующему сканировать внутреннюю сеть, получать доступ к защищенным данным и даже атаковать другие системы.

Инструменты для автоматизации SSRF

autoSSRF

AutoSSRF — это инструмент для обнаружения уязвимостей SSRF (Server Side Request Forgery), который использует умный фаззинг на основе контекста и генерацию динамических пейлоадов на основе контекста.

Инструмент автоматизации autoSSRF

Установка AutoSSRF

Использование AutoSSRF

Сканирование одного урла:

Сканирование нескольких урлов и отображением подробной информации ( -v):

AutoSSRF имеет множество функций и опций, которые можно использовать для поиска уязвимостей SSRF.

Ссылка на репозиторий GitHub: https://github.com/Th0h0/autossrf

SSRFmap

SSRFmap — это сканер SSRF на Python3. Он помогает автоматизировать процесс обнаружения и эксплуатации SSRF. Умеет самостоятельно отсылать запросы и анализировать результат. Имеет модули для различных сценариев атаки. Поддерживает некоторые техники обхода фильтрации.

Инструмент автоматизации SSRFmap

Он ищет различные способы обхода SSRF, в том числе и в популярных сторонних сервисах, таких как Redis Github, Zabbix. Он даже способен обрабатывать сохраненные запросы Burpsuite.

Установка SSRFmap:

Использование SSRFmap:

Ссылка на репозиторий GitHub: https://github.com/swisskyrepo/SSRFmap

SSRFire

SSRFire — еще один замечательный SSRF-сканер. Он даже способен обнаруживать контент с помощью других сторонних инструментов для проверки каждого URL на наличие SSRF.

Автоматизация SSRFire

Ссылка на репозиторий GitHub: https://github.com/ksharinarayanan/SSRFire

Защит от SSRF

Эта уязвимость часто используется в атаках на веб-приложения и требует внимательного контроля и защиты со стороны разработчиков и администраторов систем.

Для защиты от SSRF нужно контролировать и фильтровать входящие запросы, а также ограничивать доступ серверного приложения к внутренним ресурсам. Также рекомендуется регулярно проводить аудит безопасности и тестирование на проникновение, чтобы выявить и устранить подобные уязвимости.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер: компьютерный ниндзя и мастер цифровых тайн.

Добавить комментарий