项目地址

https://github.com/Dancas93/SSRF-Scanner

SSRF-扫描仪

SSRF（服务器端请求伪造）是大多数 Web 应用程序中发现的一个趋势漏洞，攻击者可以使服务器端应用程序向任意域或子域发出 HTTP 请求。 SSRF-Scanner 工具是一种自动化工具，可以从基础设施的角度实际发现潜在的 SSRF 问题。 SSRF-Scanner 帮助您检测潜在的 SSRF 标头并通过向您的服务器发出 HTTP 请求来验证发现它。 实际上它只支持标头攻击，但在未来的版本中还将包括从应用程序角度进行扫描。

安装

git clone https://github.com/Dancas93/SSRF-Scanner.git
cd SSRF-Scanner
pip3 install -r requirements.txt

如何使用

打印帮助菜单 python3 ssrf.py -h

您可以选择是分析单个 url 还是分析 url 列表，例如：对于单个 url： python3 ssrf.py -u https://google.com 对于 url 列表： python3 ssrf.py -f urls.txt

使用 SSRF-Scanner，您还可以执行反向连接攻击，例如： python3 ssrf.py -u https://google.com -b http://pingb.in/p/bac42078d9061876cbc7ecf2220b

结果 SSRF-扫描仪

TODO

• [ ] 细化协议攻击
• [ ] 添加对 cookie 的支持
• [ ] 添加封闭参数攻击
• [ ] 添加应用程序登录攻击（例如参数/表单）

标签：工具分享, 扫描工具, 漏洞扫描器, SSRF