URL验证绕过速查表中新增的疯狂Payload
我们的URL验证绕过速查表的力量源于网络安全社区的贡献,本次更新也不例外。我们激动地推出全新的IP地址计算器,灵感来自@e1abrador的Encode IP Burp Suite扩展插件等多项技术。
新型IP验证绕过技术
除了现有的IPv4地址表示方法外,我们新增了以下被Chrome、Firefox、Safari支持的格式。例如云元数据IP地址169.254.169.254现在可以通过这些方式表示:
- 169.254.43518 - 部分十进制(B类)格式,将IP地址第三和第四部分合并为十进制数
- 169.16689662 - 部分十进制(A类)格式,合并第二、三、四部分
- 0xA9.254.0251.0376 - 混合编码:每个段可用十六进制/十进制/八进制不同格式表示(首段十六进制,第二段十进制,后两段八进制)
速查表现已支持IPv6地址。当攻击者主机名输入有效IPv6地址时,词表将更新为地址的扩展形式。若IPv6包含内嵌IPv4地址,速查表会提取并生成所有前述格式(可在高级设置中禁用)。
您还可以使用特殊编码处理结果IP格式,包括:
- 圆圈拉丁字母和数字
- 全角形式
- 七段显示字符 (在高级设置→标准化设置中选择编码选项)
用户信息解析差异
我们新增了由@SeanPesce提交的有趣Payload,针对用户信息解析差异:
|
|
用户信息段中的左方括号字符[可能导致Spring的UriComponentsBuilder返回与主流浏览器解析不同的主机名值。这种差异可能引发开放重定向或SSRF漏洞。测试该Payload时,我们还复现了同次更新中修补的另一个漏洞,这完美展示了本速查表识别真实漏洞的能力。
CORS验证绕过速查表更新
我们近期更新了CORS绕过速查表,新增包括:
- localhost正则实现边缘情况
- Safari特有的域名分割攻击技术(由@t0xodile提交)
这些更新解决了攻击者使用特殊字符操纵域名绕过验证的场景,例如:
|
|