当前位置: 首页 > news >正文

【CVE-2025-4123】Grafana完整分析SSRF和从xss到帐户接管

news 2025/8/18 9:56:20

摘要

当Web应用程序使用URL参数并将用户重定向到指定的URL而不对其进行验证时,就会发生开放重定向。

/redirect?url=https://evil.com`–>(302重定向)–>`https://evil.com

这本身可能看起来并不危险,但这种类型的错误是发现两个独立漏洞的起点:全读SSRF和帐户接管。在这篇文章中,我将逐步了解我如何找到它们的整个过程。

为什么是Grafana?

Grafana 是一个开源分析平台,主要由 GoTypeScript 构建,用于可视化来自 PrometheusInfluxDB 等来源的数据。我认为在这个Web应用程序中发现漏洞将是一个很好的挑战,所以我下载了源代码并开始调试——尽管这是我第一次使用Go。我决定专注于应用程序的未经认证的部分。

入口点:打开重定向

我浏览了所有定义的未经认证的端点api/api.go

...// not logged in views
r.Get("/logout", hs.Logout)
r.Pos
http://www.lqws.cn/news/79003.html

相关文章:

  • Hadoop学习笔记
  • Docker 与 Harbor 私有仓库:镜像管理与版本控制的完整实践
  • Google机器学习实践指南(TensorFlow六大优化器)
  • 结构化控制语言(SCL) 与梯形图(LAD)相互转换的步骤指南
  • LabVIEW轴角编码器自动检测
  • 【数据分析】第四章 pandas简介(1)
  • Haproxy搭建web群集
  • 【Java Web】6.登入认证
  • YOLOV7改进之融合深浅下采样模块(DSD Module)和轻量特征融合模块(LFI Module)
  • NodeJS全栈WEB3面试题——P5全栈集成与 DApp 构建
  • Codeforces Round 1028 (Div. 2)(A-D)
  • MyBatisPlus--条件构造器及自定义SQL详解
  • Day43 Python打卡训练营
  • 人工智能工程技术专业 和 其他信息技术专业 有哪些关联性?
  • Sui 中文社区月度激励计划
  • LearnOpenGL-笔记-其十三
  • uniApp页面交互
  • 【算法设计与分析】实验——二维0-1背包问题(算法分析题:算法思路),独立任务最优调度问题(算法实现题:实验过程,描述,小结)
  • 杂散的处理
  • 【存储基础】【VFS】inodedentrysuper_block以及它们之间的关系
  • C++哈希表:冲突解决与高效查找
  • Cesium使用primitive添加点线面(贴地)
  • Linux中的mysql备份与恢复
  • 查找和最小的K对数字
  • 软件开发项目管理工具选型及禅道开源版安装
  • 使用 MCP 将代理连接到 Elasticsearch 并对索引进行查询
  • UE5 创建2D角色帧动画学习笔记
  • HealthBench医疗AI评估基准:技术路径与核心价值深度分析(下)
  • 湖北理元理律所:企业债务重组中的“法律缓冲带”设计
  • 设计模式——备忘录设计模式(行为型)