WebアプリにおけるSSRFの脆弱性について質問があります。
最近Webアプリの脆弱性としてSSRFが話題になることが多いですが、具体的にはどのように本脆弱性を検出するのでしょうか?
SSRFは何か別の脆弱性(OSコマンドインジェクションやパストラバーサル)があって初めてその存在が確認できる脆弱性だと思います。
そのため1からSSRFを検出する手段というものは存在せず、OSコマンドインジェクションやパストラバーサルが検出された際に、追加として実施する項目ではないのでしょうか?
また、基本的に外部から内部システムの詳細は不明だと思われます。
例えば内部システムのIPや、内部システムで本当にOSコマンドが実行されたのか?等はどのように確認するべきでしょうか?
まずは過去の質問をクローズしてください。
時間が経ち、自己回答できる質問もあるのでは?
あなたの回答
tips
プレビュー