autoSSRF：一款基于上下文的智能SSRF漏洞扫描工具

关于autoSSRF

autoSSRF是一款功能强大的智能化SSRF漏洞扫描工具，该工具基于上下文识别漏洞，并且适用于大规模扫描任务。跟其他自动化SSRF漏洞扫描工具不同的是，该工具提供了下列功能：

1、对相关SSRF GET参数进行智能化模糊测试

在进行模糊测试时，autoSSRF只会针对跟SSRF相关的常见参数进行测试，并且不会干扰其他功能。这样就可以确保被测试的Web应用程序仍然可以正确地解析原始URL。

2、基于上下文的动态Payload生成

针对一个给定的URL（例如https://host.com/?fileURL=https://authorizedhost.com），autoSSRF将会把authorizedhost.com识别为一个Web应用程序中的潜在白名单主机，并基于已知信息动态生成Payload，然后尝试绕过白名单验证。此时将生成一些有趣的Payload，例如：http://authorizedhost.attacker.com, http://authorizedhost%252F@attacker.com等等。

除此之外，该工具还会确保几乎零误报。该工具的检测功能依赖于interactsh项目，因此autoSSRF能够识别出站DNS/HTTP交互信息。

工具下载

该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，使用下列命令将该项目源码克隆至本地：

git clone https://gi