SSRF有效载荷返回200 ok

Question

如果运行SSRF有效负载并返回200 ok，是否意味着目标易受攻击？没有什么东西会像身体里的数据那样被大量泄露，只是到目前为止的内容类型。

Answer 1

不一定。服务器由于各种原因返回状态代码，这取决于它们的配置。据你所知，它正在剥离你的有效载荷，或者过滤掉它，然后完全丢弃它。确认SSRF漏洞的最简单方法--假设这是一个黑匣子测试，而且您无法亲自检查服务器日志--将是带外交互。看看能不能让它连接到https://webhook.site/。

对此也有一些警告，例如防火墙可能阻止外部连接，但允许内部连接等等，但是SSRF主类可能超出了此注释的范围。