Skip to content
/ ssrf-practice Public

Server Side Request Forgeryの脆弱性を演習できるように用意したものです。

5 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

wild0ni0n/ssrf-practice

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

16 Commits
cert
cert
 
 
conf
conf
 
 
docker
docker
 
 
html
html
 
 
secret_html
secret_html
 
 
.gitignore
.gitignore
 
 
README.md
README.md
 
 
app.py
app.py
 
 
docker-compose.yml
docker-compose.yml
 
 
screenshot.png
screenshot.png
 
 

Repository files navigation

SSRF-Practice

概要

本プログラムは、Server Side Request Forgery(以下、SSRF)の脆弱性を社内でも検証できるように用意したものです。 SSRFの脆弱性を悪用し、隠されたメッセージ(FLAG_****)を見つけてください。
見つけたFLAGはChallengeのページからFLAGの値を送信してください。
正しいFLAGを送信することができた場合はCompletionのリストにチェックが付きます。

本プログラムについての説明や環境構成などは、プログラム起動後のAboutページに記載しています。

発表用資料
https://www.slideshare.net/ssuser12fe9c/ssrf-248482162

スクリーンショット

screenshot

必要環境

  • Docker
  • docker-compose

諸注意

本プログラムは意図的に脆弱性を作りこんでいます。
検証後はアプリを停止してください。

動かし方

$ git clone https://github.com/wild0ni0n/ssrf-practice.git
$ cd ssrf-practice
$ docker-compose up -d

止め方

$ docker-compose stop

コンテナの削除も行う場合

$ docker-compose down

アクセス方法

ブラウザで以下のURLにアクセスしてください。

https://localhost:1443

リクエスト記録用の攻撃者サーバも用意してます。FLAG取得の過程で使用します。

http://localhost:8888

docker環境をVMで用意しておりNAT設定している場合は、VMのネットワーク設定に以下の設定を入れてください。
[host]127.0.0.1:1443 <=>[guest]0.0.0.0:1443
[host]127.0.0.1:8888 <=>[guest]0.0.0.0:8888

参考情報

About

Server Side Request Forgeryの脆弱性を演習できるように用意したものです。

Resources

Readme
Activity

Stars

5 stars

Watchers

1 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages