当前位置：首页 > news >正文

URL验证绕过速查表：全面解析SSRF与CORS绕过技术

news 2026/5/12 22:42:20

介绍URL验证绕过速查表

URL验证绕过是众多漏洞的根本原因，包括许多SSRF实例、CORS配置错误和开放重定向。这些漏洞通过使用模糊URL触发URL解析差异来绕过验证。然而，许多这些技术文档记录不足，因此被忽视。

为了解决这个问题，我们创建了一个速查表，整合了所有已知的payload，为您节省从互联网搜索和收集信息的时间和精力。今天，我们很高兴推出解决这个问题的新工具：URL验证绕过速查表。

我们希望您觉得它有用！这是一个经常更新的所有已知技术存储库，允许您快速生成满足需求的单词列表。

URL验证绕过速查表是一个全新的交互式Web应用程序，根据您的上下文自动调整其设置。目前提供三种上下文：

最初，速查表提供六种类型的payload单词列表。高级设置允许您选择特定单词列表或同时使用所有单词列表。以下是最重要内容的简要概述：

URL验证速查表支持几种字符串编码类型：

Intruder的百分比编码：此选项通过将某些字符替换为代表字符UTF-8编码的一到四个转义序列来编码payload字符串。它排除Burp Suite Intruder的默认字符，默认启用，使其易于与Burp Suite兼容。
全部编码：此选项对所有非字母数字字符进行百分比编码。
特殊字符选项编码除以下字符外的所有字符：["!","$","'",""","(",")","*",",","-",".","/","\",":",";","[","]","^","_","{","}","|","~"]
Unicode转义：此选项将payload字符串表示为六字符转义序列\uXXXX，除以下字符外：['"','\','\b','\f','\n','\r','\t']和范围[0x0020 - 0x007f]内的字符。

注意：应谨慎使用未编码字符串，因为Unicode值可能无法正确传输。

在处理Web应用程序时，将IP地址编码为不同格式对于测试、验证和安全目的至关重要。速查表支持标准IPv4地址作为攻击者IP输入，并返回编码表示的数组，包括八进制、十六进制、二进制和十进制格式。它还将IPv4地址转换为其IPv6映射地址格式。

编码详情：

八进制：IP地址的每个段转换为八进制数并填充到4位数字。例如，环回IP地址127.0.0.1将表示为0177.0000.0000.0001
十六进制：每个段转换为十六进制数，前缀为0x，并填充到2位数字。相同的环回IP地址将是0x7F.0x00.0x00.0x01
二进制：每个段转换为8位二进制数。示例IP地址将是01111111.00000000.00000000.00000001
部分十进制：将IP地址的第三和第四部分组合成单个十进制数：127.0.1
DWORD表示法：整个IP地址转换为无符号32位整数：2130706433
带溢出的DWORD表示法：先前转换的结果加上2^32 * 10 = 45080379393
IPv6映射地址：将IPv4段转换为十六进制并格式化为标准IPv6映射地址。环回IP地址可表示为[::FFFF:7F00:0001]或::FFFF:127.0.0.1