Комментарии 16
Для тех кто не в курсе что за SSRF и зачем нужен SafeCurl, вот здесь есть краткое описание (6 слайд, например):
www.slideshare.net/d0znpp/ssrf-attacks-and-sockets-smorgasbord-of-vulnerabilities
www.slideshare.net/d0znpp/ssrf-attacks-and-sockets-smorgasbord-of-vulnerabilities
Оно ipv6 не умеет. Так не интересно (половина вкусного — в разных нотациях записи ipv6).
Я уже написал об этом автору. Это первое, что я попробовал, и обломился.
github.com/fin1te/safecurl/issues/1
github.com/fin1te/safecurl/issues/1
Все три взломщика получили доступ к одному кошельку? Или файл обновляется?
Интересно, что на safecurl.fin1te.net/#url=http://0x25.0x30.0x5A.0xC4/btc.txt выдается ошибка о невозможности отрезолвить… а по идеи должна быть ошибка о blacklist…
зато http://2130706433/btc.txt рапортует о правильной ошибке
А как в третьем случае атакующий получил содержимое btc.txt? Так можно обойти валидацию по URL, но ведь curl отправит запрос на один из ip Google, а не на внутренний адрес?
И может мог бы кто объяснить, как во втором случае воспользовались уязвимостью?
И может мог бы кто объяснить, как во втором случае воспользовались уязвимостью?
Судя по описанию этот url некорректно парсится. Функция parse_url в PHP видит там хост google.com, который валиден. В то же время cURL использует домен safecurl.fin1te.net, обходя таким образом проверку.
В том то и дело, что не понятно, каким образом safecurl.fin1te.net попадает в curl, т.к. он потом вызывает функцию RebuildURL, которая возьмет все тот-же IP гугла
Кто-то забрал 4 награду, а способ не прислал.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сломайте SafeCurl и получите 0.25 Bitcoin