En

[TPSA20-30]关于对SSRF漏洞测试及验证流程规范的补充公告

公告编号:TPSA20-30公告来源:TSRC发布日期:2020-08-13

分享

为保障安全测试过程不影响腾讯集团内网服务,并有效提高白帽子漏洞挖掘及漏洞验证的效率,TSRC团队联合安平洞犀团队现对白帽子SSRF(Server-Side Request Forgery/服务端请求伪造)漏洞的测试及验证行为提供以下帮助,并作相关说明如下:

1、有回显ssrf
请求http://tst.qq.com/flag.html,若出现flag内容,说明存在有回显ssrf漏洞;

2、无回显ssrf
请求http://tst.qq.com/ssrf_forward.php?host=yourdnslog.domain,若你的yourdnslog.domain服务器收到请求,说明存在无回显ssrf漏洞。


其中yourdnslog.domain为白帽子自己可控的dnslog域名,使用时无需加http/https等协议,直接输入host即可,如ssrf.security.tencent.com、dnslog.tencent.com;

3、在SSRF挖掘及漏洞验证过程中,严禁白帽子对腾讯内网发起扫描动作,TSRC保留对相关违规行为进行追责的权利。

4、TSRC会根据SSRF漏洞的回显情况,对漏洞定级及评分奖励进行相应调整,对全文回显或回显较多的漏洞相应给予更高奖励。

请广大白帽子务必遵守以上原则。感谢各位白帽子对TSRC一直以来的支持。