关键信息 漏洞概述 漏洞类型: SSRF (Server-Side Request Forgery) 受影响软件: unmark v1.9.3 文件: application/controllers/Marks.php 版本: 2.8.0 分析 代码问题: - 第33行: 直接使用用户提供的 。 - 第25-28行: 只检查URL是否以 或 开头,未对内部(私有)地址进行过滤。 - 缺乏白名单验证: 代码中没有机制阻止或过滤内部网络地址。 POC (Proof of Concept) 请求示例: 响应示例: 总结 该漏洞允许攻击者通过构造恶意URL来访问服务器内部网络资源,从而可能引发进一步的安全风险。