ИНИЦИАЛИЗАЦИЯ ИНСПЕКТОРА
SSRF_ATTACK_MAPPER · SEBERD IT BASE
SSRF ATTACK MAPPER
Перехватывай SSRF-запросы на живой карте сети: сканируй улики, блокируй узел и накладывай патч на код
Cloud metadata (IMDS)
169.254.169.254 — временные IAM-ключи AWS/GCP/Azure.Localhost / RFC1918
127.0.0.1, внутренние сети — обход периметра к Redis, admin.Protocol smuggling
file://, gopher:// — опасные схемы URL.DNS rebindingTTL=0: после проверки A-запись меняется на
127.0.0.1.URL parser bypass
@, IPv6, октальные IP — обход allowlist.Blind SSRFOOB DNS/HTTP callback — утечка без видимого ответа.
Allowlist только HTTPS-партнёрыРазрешать только одобренные хосты и схему
https.Блокировка RFC1918 + loopbackЗапрет private IP на egress-шлюзе и после DNS-резолва.
Нормализация URLWhatWG URL API: парсить canonical, проверять host, не строку.
SCAN — найди уязвимые части URL кликом. Каждый клик раскрывает объяснение. Таймер не идёт.
INTERCEPT — кликни на нужный узел сети на карте слева, чтобы заблокировать пакет. Таймер 15 сек.
PATCH — перетащи карточку-правило на мигающую строку кода. Таймер 20 сек. Верно — комбо!
3 жизни · кольцо-таймер · комбо ×4 · 6 миссий
OWASP A10:2021 SSRF · CWE-918 · Capital One · PortSwigger
6 миссий · 3 фазы каждая · находи улики · кликай узлы · drag-and-drop
SSRF MAP
МИССИЯ 1/6
SCAN
—
0
ОЧКИ
×1
КОМБО
Кликни узел для блокировки
Перехваченный запрос
SCAN
Кликай подозрительные части URL:
Найдено:
0/0
Подозрительный адрес
Заблокируй узел
INTERCEPT
—
Что будет без блокировки:
—
Кликни нужный узел на карте слева
Неверно. Попробуй другой узел.
Уязвимый код
PATCH
Перетащи правило на мигающую строку:
—
МИССИЯ ПРОЙДЕНА
—
—
Сеть скомпрометирована
—
Периметр защищён
Все 6 векторов SSRF перехвачены. Сеть сегментирована, код пропатчен.
Вы применили: