ニックネーム
fin1teの開発者は、SSRF攻撃から保護
するcurlを
介した安全な
ラッパーを作成し、コンテストを開催します:SafeCurl
safecurl.fin1te.netデモサーバーにある
btc.txtファイルをダウンロードできる場合のみソースIP 127.0.0.1および37.48.90.196(外部IPサーバー)を使用すると、B⃦0.25が配置されているウォレットにアクセスできます。
すでに3つの成功したハッキングを行っています:
- @zoczusはログオンして防御を回避しました
0.0.0.0/btc.txt - @ 47696d6569およびryancはDNS再バインドを実行し、検証後に別のIPアドレスからファイルをダウンロードできるようにしました
- @shDaniellは、フォームのリンクを含むファイルをダウンロードすることにより、URIの解析に脆弱性を使用しました
user:pass@safecurl.fin1te.net?@google.com/
btc.txtをダウンロードできた場合、作成者はメールをハッキングする方法を説明するように求めます。
コンテストページ 。