SSRF漏洞

已于 2023-05-27 11:17:41 修改
阅读量93 收藏
点赞数
文章标签: 安全 网络
于 2023-05-27 10:15:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a987329381/article/details/130897823
版权

1.SSRF介绍:

SSRF(Server-Side Request Forgery ,服务器端请求伪造)是一种由攻击者构造形成由服务 器发起请求的一个安全漏洞

2.原理:

由于红色字段url内容可以更改

隔山打牛

3.SSRF漏洞挖掘

SSRF的场景

1.分享

2.转码

3.在线翻译

4.图片加载,下载

5.图片,文章收藏

6.未公开的API

URL中的关键字:share,wap,url,link,src,source,target ,3g,display,sourceURL,u, imageURL,domain

4.SSRF漏洞挖掘

1.服务探测

2.协议

3.访问敏感数据

4.内网探测

C类:192.168.0.0-192.168.255.255 B类:172.16.0.0-172.31..255.255 A类:10.0.0.0-10.255.255.255

常见端口:http 80,https 443,telnet 23,ftp 21,ssh 22,smtp 25,weblogic 7001,tomcat 8080,jboss 8080,Oracle 1521,sqlserver 1443

txt中写入端口号 url中ip:端口号 端口号加payload burp载入txt扫端口爆破

SSRF可以试试哪些协议

ftp,dict,gopher,file,ladp,ssh,smb,http,https

5.SSRF读取敏感文件

Windows下:

 Linux下:

 

Jo_y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSRF漏洞笔记
weixin_42695055的博客
02-08 386
SSRF:(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造特殊形成的请求,并且由指定服务器端发起恶意请求的一个安全漏洞。 由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。
WebLogic SSRF漏洞修复
11-25
WebLogic SSRF漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
SSRF漏洞实战
yuan_boss的博客
09-04 1543
服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF
SSRF漏洞详解
热门推荐
qq_48904485的博客
03-22 2万+
一、SSRF概述 SSRF全称为Server-side Request Fogery,中文含义为服务器端请求伪造,漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能,比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等。 一般情况下,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,所以这个漏洞名字也叫作“服务器请求伪造”。 利用SSRF能实现以下效果: 1
ssrf漏洞
2301_80661529的博客
03-09 776
成因:SSRF漏洞主要源于Web应用对用户输入的URL没有充分过滤和校验,使得攻击者能够操控服务器向任意指定的URL发送请求。危害:攻击者可以利用SSRF漏洞绕过防火墙和其他网络防护措施,直接从内部网络发起攻击,这使得一些仅对外部访问设限的安全措施失效。利用方式:攻击者可能尝试注入恶意URL,如内网IP、本地文件协议(file:///)、特殊的网络协议(如RPC、FTP等),甚至是利用一些服务端软件存在的SSRF特性间接访问内部资源。
SSRF 漏洞笔记
qq_32812063的博客
11-25 1155
SSRF
SSRF漏洞复现
m0_57485346的博客
03-15 1174
ssrf漏洞复现
iwebsec SSRF漏洞
weixin_44135070的博客
01-22 560
【代码】iwebsec SSRF漏洞
SSRF 漏洞学习
iO快到碗里来
08-25 1477
SSRF 漏洞学习实战 0x00 漏洞概述 SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起这一请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。 0x01 形成原因 由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的
ssrf 漏洞
安全界的彭于晏的博客
07-05 280
SSRF 原理(服务器请求伪造) 中间人攻击 是一种由web服务器发出请求的漏洞,它能够请求到与 它相连的内网资源(与外网隔离的内部系统).因此SSRF 主要测试目标是企业的内网系统。 很多web应用提供从其他服务器获取数据的功能,可以根据 用户提交URL访问对应资源(获取图片,下载文件,读取内容) 如果该功能作为代理通道去访问本地或远程服务器,这就是所谓 的SSRFSSRF的强大和成功几率由函数本身功能决定 即代码中是什么函数其功能有多强大,那么存在SSRF漏洞的话, 漏洞利用的概
104-web漏洞挖掘之SSRF漏洞1
08-03
SSRF漏洞的本质是利用服务器作为一个代理,攻击者可以借此访问那些仅限内部网络的资源,如内部服务器、数据库或者其他敏感服务。 SSRF漏洞产生的主要原因是服务端程序设计时没有对用户提供的URL或网络请求的目标...
31-浅谈SSRF漏洞1
08-03
SSRF漏洞的成因在于服务器设计时,未能对用户可控的请求目标进行充分的验证和限制。例如,服务器可能提供了一个功能,用于从其他服务器获取数据,如加载远程URL的图片或文本。如果这个功能没有正确地过滤和限制输入...
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF漏洞详解】 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,...
ssrf-lab:探索SSRF漏洞的实验室
05-22
实验室 探索SSRF漏洞的实验室 10月4日的实验室位于/ ctf目录中:-)
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
python实现程序设计检测一个网址是否存在SSRF漏洞漏洞检测
最新发布
06-13
python代码的实现过程
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
ssrf漏洞内网渗透_ssrf漏洞分析
06-06
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,攻击者通过构造恶意的请求,从而使服务器发起非预期的请求,可能导致敏感信息泄露、服务器受到攻击等后果。 在内网渗透中,SSRF 漏洞可以用来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值