SSRF概述
英文全称:Server-Side Request Forgery
简称:SSRF
中文:服务端请求伪造
SSRF概述:请求伪造缺陷,是一种攻击者发起的伪造由服务器端发起请求的一种攻击
攻击目的:从外网无法访问的内网系统
危害:
端口扫描(扫描内网机器的端口)
读取服务器文件
攻击内网web应用
应用指纹识别
形成原因:SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
SSRF的常见代码
可以从以下URL关键字中寻找SSRF漏洞:
share
wap
url
link
src
source
target
u
3g
display
sourceURl
imageURL
domain
…
引用自:https://blog.csdn.net/qq_27446553/article/details/48712475
漏洞的修复
1.限制请求端口
2.信息过滤返回
3.设置URL白名单
4.限制内网IP
结语
该文章是我以前的学习笔记,可能不是很详细
推荐文章:https://www.cnblogs.com/iors/p/9777571.html
SSRF的漏洞的挖掘:https://www.cnblogs.com/piaomiaohongchen/p/11085388.html
其他链接
哔哩哔哩
会同步该博客发一些自制视频
微博
用的比较少
Github
一些源代码
知乎
不懂的我一般会在上面提问
简书
同步该博客内容相同
CSDN
同步该博客内容相同
个人联系方式
QQ:2446264712
微信:X15019749137
有意添加请备注 啊啊啊啊