某银行询证函业务SSRF漏洞复现

话说某一地方银行，正在计划上线一个子业务——询证函业务，放置于个人业务功能模块。现针对此业务进行安全测试。

何为询证函？

询证函是由审计师(或其他鉴证业务执行人)以被审计者的名义向被询证人发出的，用以获取被询证人对于被审计者相关信息或现存状况的声明。

按照相关准则的要求，询证函必需由审计师亲自寄发，不可由被审计者代为寄发。被审计者可以帮助填写询证函的内容并提供被询证人的地址等信息，但是审计师必须对上述信息进行检查核对。询证函是审计师审计工作底稿的重要组成部分。

寄发询证函以获取审计证据的审计程序称为函证。按照审计准则的规定，所有的银行账户，包括审计期间内销户的账户都应当进行函证，对于重要的往来对象应当予以函证。

何为银行询证函？

银行询证函是向被审计者的存款银行及借款银行发出的询证函，用以检查被审计者在特定日期(一般为资产负债表日，下同)银行存款的余额、存在性和所有权，以及借款的余额、完整性和估价。完整的银行询证函一般包括：存款、借款、销户情况、委托存款、委托贷款、担保、承兑汇票、贴现票据、托收票据、信用证、外汇合约、存托证券及其他重大事项。

基于银行询证函业务的属性，一般情况下，银行会对本行的询证函业务进行公告，方便审计部门遵照执行。例如浦发银行、招商银行等：