当前位置: 首页 > ai >正文

【CVE-2025-4123】Grafana完整分析SSRF和从xss到帐户接管

ai 2025/7/15 9:24:52

摘要

当Web应用程序使用URL参数并将用户重定向到指定的URL而不对其进行验证时,就会发生开放重定向。

/redirect?url=https://evil.com`–>(302重定向)–>`https://evil.com

这本身可能看起来并不危险,但这种类型的错误是发现两个独立漏洞的起点:全读SSRF和帐户接管。在这篇文章中,我将逐步了解我如何找到它们的整个过程。

为什么是Grafana?

Grafana 是一个开源分析平台,主要由 GoTypeScript 构建,用于可视化来自 PrometheusInfluxDB 等来源的数据。我认为在这个Web应用程序中发现漏洞将是一个很好的挑战,所以我下载了源代码并开始调试——尽管这是我第一次使用Go。我决定专注于应用程序的未经认证的部分。

入口点:打开重定向

我浏览了所有定义的未经认证的端点api/api.go

...// not logged in views
r.Get("/logout", hs.Logout)
r.Pos
http://www.xdnf.cn/news/10529.html

相关文章:

  • 深入探讨redis:缓存
  • AI入门——AI大模型、深度学习、机器学习总结
  • CentOS8.3+Kubernetes1.32.5+Docker28.2.2高可用集群二进制部署
  • 如何把电脑桌面设置在D盘?
  • JDK21深度解密 Day 11:云原生环境中的JDK21应用
  • 【Delphi】实现在多显示器时指定程序运行在某个显示器上
  • 力扣HOT100之动态规划:32. 最长有效括号
  • HTML 等价字符引用:系统化记忆指南
  • Fragment懒加载优化方案总结
  • DAY 43 复习日
  • Python 详细分析死锁原因及对应解决方案
  • 摩尔投票算法原理实现一文剖析
  • 基于 51 单片机的智能饮水机控制系统设计与实现
  • 低能硼注入的粒子控制 Axcelis Purion高电流离子注入机近晶圆环境中的石墨衬垫
  • BUUCTF[极客大挑战 2019]Secret File 1题解
  • 基于 Alpine 定制单功能用途(kiosk)电脑
  • 高效视频倍速播放插件推荐
  • 青少年编程与数学 02-020 C#程序设计基础 17课题、WEB与移动开发
  • C++中实现随机数(超详细!​​​​​)
  • 【Doris基础】Apache Doris中的Coordinator节点作用详解
  • 【MATLAB代码】制导——平行接近法,三维,目标是运动的,订阅专栏后可直接查看MATLAB源代码
  • C#项目07-二维数组的随机创建
  • Kotlin 中 companion object 扩展函数和普通函数区别
  • Qt OpenGL 3D 编程入门
  • Grafana对接Prometheus数据源
  • JAVA学习-练习试用Java实现“使用JavaFX绘制散点图 :可视化数据集”
  • 【2025年B卷】华为OD-100分-字符串重新排列、字符串重新排序
  • 解锁 AI 大语言模型的“知识宝藏”:知识库的奥秘与优化之道
  • TDengine 的 AI 应用实战——电力需求预测
  • 秋招Day12 - 计算机网络 - UDP