通過搜狗某搜尋功能掃瞄搜狗內網及修復

2021-12-29 21:01:35 字數 749 閱讀 6189

搜狗搜尋功能未對url進行有效控制,導致可以利用其訪問搜狗內網。

搜狗搜尋功能,會根據url去訪問相應伺服器上的:

但是這個功能沒有對訪問的url位址進行有效控制,如果提交類似下面這樣的url,就可以讓應用去訪問搜狗內部web伺服器,攻擊者可以利用其掃瞄搜狗內部伺服器情況。

如果能訪問到伺服器,提交url:

如果伺服器無法訪問,則顯示超時,提交url:

這樣寫乙個程式遍歷192.168.1.1-192.168.254.254整個ip段:

返回200的說明是可以成功訪問到的:

測試一下:

訪問會返回504

訪問:會返回200

修復方案:

進行訪問控制吧,防止內部資源被訪問

爬取搜狗搜尋頁面

功能,爬取搜狗搜尋的頁面,儲存到本地 import requests from tkinter import def func search word entry key word.get print word param param query word ua偽裝 headers url get方...

搜狗搜尋公升級,新推日文韓文搜尋

pingwes程式設計客棧t品玩 1 月 24 道,1 月 24 日,在 2018 搜狗合作夥伴大會上,搜狗ceo王小川在演講中透露,繼 2017 年 1 月推出英文搜尋後,搜狗搜尋已在近期推出日文及韓文搜尋。同時,搜狗輸入法也將進行功能公升級。王小川在演講中表示,搜狗正在以語言為核心進行人工智慧布...

搜狗招聘 搜狗搜尋引擎 產品專員 歡迎實習生

如果您是做開發的請移步這裡 搜狗招聘 產品部搜尋產品經理 抽點時間先做個測試吧 看看你是否適合做乙個合格的搜尋產品專員 1 你經常使用各種搜尋引擎嗎?a.沒錯,豈止是經常,搜尋引擎就是我上網的必備工具,找任何東西我都想先搜一下。b.經常用,不過只是用一些網頁 搜尋之類的,而且基本只去那兩三個有名的搜...