SSRF-UrlValidator校验

最新推荐文章于 2024-10-16 10:13:45 发布
最新推荐文章于 2024-10-16 10:13:45 发布
阅读量49 收藏
点赞数
分类专栏: MAC 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZHOU_VIP/article/details/142492108
版权

例1: 

import java.util.regex.Pattern;

public class UrlValidator {

    private static final Pattern SAFE_URL_PATTERN = Pattern.compile("^(http|https)://[^/]+/.*$");

    public static boolean isSafeUrl(String url) {
        if (url == null || url.isEmpty()) {
            return false;
        }

        // 验证 URL 是否符合安全模式
        Matcher matcher = SAFE_URL_PATTERN.matcher(url);
        if (!matcher.matches()) {
            return false;
        }

        // 验证是否为本地地址或内部地址
        try {
            URL u = new java.net.URL(url);
            String host = u.getHost();
            if (isLocalAddress(host) || isInternalAddress(host)) {
                return false;
            }
        } catch (Exception e) {
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ZHOU_VIP
关注
专栏目录
订阅专栏
ssrf-lab踩坑记录
qq_39670065的博客
09-03 591
详细安装见Centos7下安装Docker(详细安装教程) 可以配置镜像加速器,在阿里云找docker节点 解决办法Linux -bash: git: 未找到命令的解决方法
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
javaSSRF代码审计
weixin_45653478的博客
06-24 616
HttpURLConnection 是 URLConnection 的子类, 用来实现基于 HTTP URL 的请求、响应功能,每个 HttpURLConnection 实例都可用于生成单个网络请求,支持GET、POST、PUT、DELETE等方式。在调用 URL.openConnection() 获取 URLConnection 实例的时候,真实的网络连接实 际上并没有建立,只有在调用 URLConnection.connect() 方法后才会建立连接。//htmlContent添加到html里面。
SSRF被动检测插件-ssrf-king
siu~
09-01 1380
一款好用的SSRF被动检测插件。
ssrf-lab详解看ssrf
hxhxhxhxx的博客
12-26 2304
ssrf-lab详解basicadvanced1 前言:首先需要下载ssrf-lab https://github.com/m6a-UdS/ssrf-lab 然后,使用docker搭建服务 docker-compose up -d 静默开启服务 这个是有compose.yml存在时候,在同级目录下使用 停止 docker-compose stop 清除 docker-compose kill 如果没有的话, 直接./Makefile执行文件即可 我们查看我们的镜像,然后进行run basic ad
探索SSRF漏洞的绝佳实践 - ssrf-lab
gitblog_00010的博客
05-28 390
探索SSRF漏洞的绝佳实践 - ssrf-lab 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领域中,Server-Side Request Forgery (SSRF) 是一种常见且危害性颇大的漏洞。它允许攻击者通过利用服务器的信任,发起对内部网络资源的请求。为了帮助开发者更好地理解和防范这种威胁,我们向您推荐一个精心设计的开源项目:ssrf-lab。 项目介绍 ...
SSRF-Vulnerable-Lab靶场训练
weixin_44023442的博客
01-28 2201
参考文章 SSRF-Vulnerable-Lab tag: #SSRF Ref: 1、file_get_content.php 提取并显示指定文件内容的应用程序代码 在编程语言中,有一些函数可以获取本地保存文件的内容。这些功能可能能够从远程URL以及本地文件(例如PHP中的file_get_contents)中获取内容。 如果没有对输入内容进行处理,或者处理的不够严格,将有可能导致SSRF漏洞攻击。 输入:file_get_content.php 显示: 直接暴露源码 输入:file:///C:/W
SSRF-labs-master靶场
weixin_68416970的博客
07-30 704
SSRF-labs-master靶场
ssrf-test
0xcc'Blog
06-06 371
SSRF(Server-Side Request Forgery:服务器端请求伪造) SSRF其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 简单来说,SSRF就是根据PHP里的函数支持的网络协议写出payload,从而对服务器的内网进行攻击。 ...
CTFHUB-SSRF-FastCGI协议
weixin_68416970的博客
07-02 528
CTFHUB技能树、SSRF、FastCGI协议的通关教程
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合中式习惯坐标系
ssrf-lab:探索SSRF漏洞的实验室
05-22
实验室 探索SSRF漏洞的实验室 10月4日的实验室位于/ ctf目录中:-)
【C++刷题】力扣-#121-买卖股票的最佳时机
最新发布
会写代码的饭桶
10-16 327
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 392
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
Java分布式锁
juanmiao的专栏
10-12 705
每种方法都有其优点和适应的场景,数据库通常简单,但可能存在性能问题,redis非常快,但需要第三方库,并且可能引入网诺问题,Zookeeper提供了更复杂的同步原语,但需要额外学习曲线。分布式锁的实现比线程锁和进程锁要复杂得多,因为它需要在网诺中的多个节点之间进行协调,以保证锁的唯一性和一致性。在实现分布式锁时,通常会有一个中心节点(或者称为锁服务),所有需要获取锁的节点都需要向这个中心节点申请。这个中心节点负责协调和管理所有节点的锁请求,确保锁的唯一性和一致性。创建临时节点,执行业务逻辑,释放锁。
Java安卓开发之Fragment开发(通俗易懂版)——第8章
一个脚本小子的博客
10-13 690
FragmentManager中的getSupportFragmentManager()方法不支持Activity,不论是旧版的FragmentManager还是新版的,因此我们要把继承Activity类改成继承AppCompatActivity类。
确保Spring Boot定时任务只执行一次方案
2301_76419561的博客
10-14 559
确保Spring Boot定时任务只执行一次有多种方法,你可以根据实际需求选择最适合的方法。如果你需要更复杂的任务调度或周期性执行,@Scheduled注解和接口是更合适的选择。而对于一次性的初始化任务或应用程序启动任务,注解和实现接口则更为简洁明了。
【SpringBoot的启动、处理请求整体流程(二)】
m0_50149847的博客
10-13 911
同时,如果文章有错误,也欢迎批评指正。本篇文章继之后,可以先阅读第一篇文章。
SSRF-Testing安装
07-25
SSRF (Server Side Request Forgery) 测试是一个用于检测服务器端请求伪造漏洞的工具,它是一种常见的安全测试技术。为了安装 SSFRT 这一工具,你可以按照以下步骤操作: ### 安装依赖 首先,确保你的系统已安装 Python 和 pip(Python 的包管理器)。在命令行界面输入: ```bash pip install -r requirements.txt ``` 如果你是使用基于 Debian 或者 Ubuntu 的 Linux 发行版,则需要先安装 `libffi-dev`、`libssl-dev`、`python-dev` 等库,可以通过运行以下命令完成: ```bash sudo apt-get update sudo apt-get install libffi-dev libssl-dev python-dev ``` 接着,在你的项目目录中创建一个名为 `requirements.txt` 的文件,并添加所需的依赖(通常包括 `requests` 库),然后再次使用 `pip` 来安装: ```txt # requirements.txt 文件内容示例 requests==2.26.0 pip install -r requirements.txt ``` ### 安装 SSFRT 工具 使用 Git 克隆 SSFRT 的仓库到本地: ```bash git clone https://github.com/ssertool/ssftrt.git cd ssftrt pip install . ``` 或者从 PyPI 直接安装(如果已发布): ```bash pip install ssftrt ``` ### 使用 SSFRT 一旦 SSFRT 成功安装,你可以在 Python 脚本中导入并使用它来进行 SSRF 测试。典型的用法如下: ```python from ssertool.ssftrt import SSFRT ssf = SSFRT() results = ssf.scan('http://example.com', {'param': 'http://target.example.com'}) print(results) ``` 在这个例子中,我们尝试通过 `http://example.com` 的 URL 发起请求,其中 `param` 参数指向了目标 URL `http://target.example.com`。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZHOU_VIP

您的鼓励将是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值