漏洞概述 库存在基于重定向的 SSRF(服务器端请求伪造)漏洞。该库不限制对内部 IP 地址的请求,且会自动跟随底层 的重定向。攻击者可以控制 URL,将其重定向至内部服务(如云元数据端点)。此外, 的 TLS 指纹伪装功能(TLS fingerprint impersonation)可能使这些请求看起来像合法的浏览器流量,从而绕过某些基于 TLS 指纹的出站网络过滤控制。 影响范围 受影响版本: 修复版本: PoC 代码 1. 直接内部请求 2. 重定向至内部服务 攻击者服务器响应示例: 受害者代码: 3. 使用 TLS 伪装绕过 修复方案 将 库升级至 v0.15.0 或更高版本。