Hello there, ('ω')ノ
ブラックリストベースの入力フィルターを備えたSSRFを。
まずは、ページに移動して在庫チェックを。
他サーバへのstcokApiが確認できて。
リピータで、下記に変更してSendするとエラーが。
stockApi=http://127.0.0.1
IPアドレスをURLエンコードして。
再度、Sendしてもエラーが。
さらにURLエンコードして。
再度、Sendすると成功のステータスが。
stockApiにadminを追加して実行すると。
こちらもエラーだったので。
同様にURLエンコードを二回して。
stockApiに追加して実行すると成功したので。
carlosを削除するパラメータを追加して実行すると。
クリアできた。
Best regards, (^^ゞ