工具介绍
Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。
运行原理
- 捕获参数中存在URL链接特征的请求包
- 参数值替换为BurpSuite Collaborator的payload(类似DNSLOG)
- 重新发包, 并监听BurpSuite Collaborator
- 如果BurpSuite Collaborator收到目标站点发出的请求(HTTP请求),则疑似存在SSRF漏洞
- 手动确认
插件截图
Features
- [x] 插件的启动/关闭取决于BurpSuite的被动扫描状态
- [x] 支持扫描Proxy、Repeater
- [x] 可疑点使用dnslog探测
- [x] 线程池大小可配置
- [x] 支持JSON请求体的扫描
- [x] 支持XML请求体的扫描
- [x] 重复流量过滤
- [x] 重复流量过滤器的缓存持久化
- [x] 配置持久化
- [ ] 接入SRC厂商提供的SSRF靶子
- [ ] 探测127.0.0.1消除误报
- [ ] 自动 Bypass
工具下载
© 版权声明
文章版权归作者所有,转载请标明出处。
THE END
暂无评论内容