在接受(部分)用户输入的图像标签中可能存在SSRF？

Question

webapp有一个img标记，它部分地接受用户输入，如下所示：

<img src="/blah/blah/$USERINPUT.jpg">

其中第一个/来自域的根。

这里可能有漏洞吗？是否可能使用../，然后尝试路径遍历？

Answer 1

这里很少有矛盾的东西。

SSRF是您代表您使服务器请求一个(通常是外文) URL的地方。它与路径遍历不完全相同。路径遍历可能是可能的，但我会感到惊讶--路径遍历的一个更好的指标是URL查询部分中的文件名，或POST数据中的文件名。

找到反映用户输入问题的最佳选择通常是跨站点脚本。如果修改用户输入，引号是转义的吗？

Answer 2

除非您遗漏了关于某种服务器端呈现器的信息，否则您不会在这里找到SSRF。SSRF会导致服务器获取内容；更改图像标记只会影响HTML，而HTML只会呈现在客户机上。

如果您正在测试路径遍历，则无需尝试通过图像标记进行测试。只需在路径中使用../../请求一个页面。然而，我也会感到惊讶，如果这是可行的。