WEB漏洞—SSRF漏洞

最新推荐文章于 2024-05-30 15:07:12 发布
最新推荐文章于 2024-05-30 15:07:12 发布
阅读量836 收藏
点赞数
文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Holen_/article/details/122590302
版权

在这里插入图片描述

SSRF(Server-Side Request Forgery:服务器端请求伪造)

介绍
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
原因
由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
在这里插入图片描述
漏洞攻击
端口扫描、指纹识别、漏洞利用、内网探针等
该漏洞可用来从各个协议获取探针:如http、file、dict、ftp、gopher等

  1. 对http协议来说,利用字典扫描出内网存活的IP
    在这里插入图片描述
  2. 对file文件读取协议
    在这里插入图片描述
    返回服务器中D盘符的www.txt文件内容
    在这里插入图片描述
  3. dict协议
    在这里插入图片描述在这里插入图片描述
  4. ftp协议
    在这里插入图片描述
    在这里插入图片描述

这是不同环境搭建的网站可能支持的协议图
在这里插入图片描述

https://www.t00ls.cc/articles-41070.html
这是一篇关于SSRF漏洞的具体介绍

恩大
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web SSRF漏洞
qq_46258964的博客
12-22 1385
SSRF 漏洞 SSRF(Server-Side Request Forgery,服务器端请求伪造),是一种由攻击者构造请求然后服务器 端发起的请求安全漏洞SSRF攻击的目标是从外网无法访问内部系统,正因为是服务器端发起的,所以能够请求到与它相连的内网。 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 注释:除了http/https等方式可以造成ssrf,类似tcp connect
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
WEB漏洞-SSRF漏洞
xhscxj的博客
01-26 722
ssrf例子: 1.访问内网 当有这种类似通过网址远程上传图片的地方 输入图片网址提交后,对方服务器会去对图片网址进行请求 如果这里的地址写的是127.0.0.1:3306的话,对方服务器端就会对自己本地的3306端口进行访问,这里是访问的结果 如果知道对方内网的ip,也可以通过它的内网地址进行访问(攻击者无法直接对目标的内网进行访问,但是通过ssrf,就可以借助目标服务器当跳板对它的内网进行访问。相当于服务器自己访问自己的内网) 可以通过file协议对目标服务器的本地文件进行读取 ...
Web安全-SSRF漏洞
道阻且长,行则将至。
11-24 7937
概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指...
Web漏洞_SSRF学习
BeatRex的博客
05-08 726
一、原理
web基础漏洞SSRF漏洞
m0_62274649的博客
10-04 768
对一些大佬的总结的学习笔记,还有一点比赛的wp.
Web漏洞SSRF初探
小赵同学的博客
07-07 868
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
Web漏洞-SSRF漏洞(详细)
Ays.Ie的博客
03-10 2791
该篇为Web漏洞-SSRF漏洞(详细)
Xray-web漏洞扫描工具.zip
02-02
如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体...
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 333
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
记录一次前端页面崩溃的产生及处理
最新发布
weixin_51123079的博客
05-30 409
记录一次前端页面崩溃的产生及处理
web前端三大主流框架
低调做人,低调编码,神码都是浮云
05-30 877
Web前端三大主流框架介绍:Angular、React、Vue
【JS实战案例汇总——不定时更新版】
微木
05-30 215
练习JS的实用案例
python前端通过API接口调用与后端进行数据交互前端如何调用api接口通过关键词获取电商平台热销商品数据
2301_78159247的博客
05-23 774
请求参数:q=女装&start_price=0&end_price=0&page=1&cat=0&discount_only=&sort=&page_size=&seller_info=&nick=&ppath=&imgid=&filter=参数说明:q:搜索关键字。
Flutter 中的 SizeChangedLayoutNotifier 小部件:全面指南
smileKH的博客
05-28 474
是一个混合了和行为的布局小部件。它允许子组件在尺寸变化时发送通知,而其他组件可以订阅这些通知来响应尺寸变化。
前端知识1-4:性能优化进阶
kuangjianming的博客
05-29 829
开始解析渲染DOM树的时间 => readyState变成loading => readystatechange。表示从上一个文档卸载结束时 => 如果没有上一个文档,这个值和fetchStart相等。b. 整体化内容插入 => 影响整体布局 => 重排 => 重绘。第一个http重定向发生和结束的时间。完成解析 => dom树解析完成时间。浏览器准备好使用请求获取文档的时间。HTTP开始建立连接的时间。TCP开始建立连接的时间。HTTPS连接开始的时间。a. 减少JS的执行时间。加载网页内资源的时间。
csrf漏洞ssrf漏洞
03-30
CSRF漏洞(Cross-Site Request Forgery)是一种网络安全漏洞攻击者利用已登录的用户的身份,在用户不知情的情况下,以用户的名义进行恶意操作。攻击者在第三方网站上构造一个恶意请求,当用户访问该第三方网站时,恶意请求会自动触发,将恶意操作发送到目标网站。 SSRF漏洞(Server-Side Request Forgery)是一种服务器端的安全漏洞攻击者利用该漏洞可以在服务器端发起网络请求,攻击者可以利用该漏洞进行端口扫描、内网探测、读取本地文件等操作。攻击者通常会构造一个特殊的网络请求,以欺骗服务器端进行网络请求,从而达到攻击的目的。 这两种漏洞都是利用用户或服务器端的信任来进行攻击,因此可以采取以下措施来防范: 1. 对于CSRF漏洞,可以在关键操作中添加验证码或token验证,以防止攻击者构造恶意请求; 2. 对于SSRF漏洞,可以限制服务器端发起网络请求的范围,尽量避免将网络请求的目标地址由用户输入或从外部获取; 3. 对于Web应用程序,应对输入数据进行严格的验证和过滤,避免攻击者构造恶意输入; 4. 定期进行安全漏洞扫描和安全评估,及时发现和修复漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值