本プログラムは、Server Side Request Forgery(以下、SSRF)の脆弱性を社内でも検証できるように用意したものです。
SSRFの脆弱性を悪用し、隠されたメッセージ(FLAG_****
)を見つけてください。
見つけたFLAGはChallengeのページからFLAGの値を送信してください。
正しいFLAGを送信することができた場合はCompletionのリストにチェックが付きます。
本プログラムについての説明や環境構成などは、プログラム起動後のAboutページに記載しています。
発表用資料
https://www.slideshare.net/ssuser12fe9c/ssrf-248482162
- Docker
- docker-compose
本プログラムは意図的に脆弱性を作りこんでいます。
検証後はアプリを停止してください。
$ git clone https://github.com/wild0ni0n/ssrf-practice.git
$ cd ssrf-practice
$ docker-compose up -d
$ docker-compose stop
コンテナの削除も行う場合
$ docker-compose down
ブラウザで以下のURLにアクセスしてください。
リクエスト記録用の攻撃者サーバも用意してます。FLAG取得の過程で使用します。
docker環境をVMで用意しておりNAT設定している場合は、VMのネットワーク設定に以下の設定を入れてください。
[host]127.0.0.1:1443 <=>[guest]0.0.0.0:1443
[host]127.0.0.1:8888 <=>[guest]0.0.0.0:8888