SSRF学习(1)

已于 2022-05-14 20:15:28 修改
阅读量496 收藏 1
点赞数
文章标签: 安全 服务器 http
于 2022-05-09 19:02:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64417923/article/details/124660751
版权
本文详细介绍了SSRF(服务器端请求伪造)的概念,成因及其危害,包括内网探测、文件读取和DoS攻击。同时,讨论了SSRF漏洞的验证方法,如排除法和DNSlog工具,并列举了可能触发SSRF的各种应用场景,如社交分享、图片加载和数据库操作等。
摘要由CSDN通过智能技术生成

更新:(2)(3)(4)(5)

SSRF的定义与成因

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形
成,由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法
访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外
网隔离的内部系统)
SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能
且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地
址的图片,下载等等。

ep:

最常见的是当服务器需要外部资源时,比如 web 应用程序需要从 google 加载一张缩略图,此时的请求可能是这样的&

最低0.47元/天 解锁文章
m0_64417923
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRFmap:自动SSRF模糊处理和开发工具
02-04
SSRF地图 SSRF通常用于利用对其他服务的操作,此框架旨在轻松查找和利用这些服务。 SSRFmap将Burp请求文件作为输入和fuzz的参数。 服务器端请求伪造或SSRF是一个漏洞,攻击者在其中迫使服务器代其执行请求。 概要 模组 以下模块已经实现,可以与-m参数一起使用。 名称 描述 fastcgi FastCGI RCE redis Redis RCE github Github Enterprise RCE <2.8.7 zabbix Zabbix RCE mysql MySQL命令执行 docker 通过API的Docker Infoleaks smtp
探索安全边界:SSRFmap - 一款强大的SSRF漏洞扫描工具
最新发布
gitblog_00021的博客
03-23 728
探索安全边界:SSRFmap - 一款强大的SSRF漏洞扫描工具 项目地址:https://gitcode.com/swisskyrepo/SSRFmap 项目简介 SSRFmap 是一个由开发者 SwisskyRepo 创建的开源项目,旨在自动化检测和利用服务器端请求伪造(Server-Side Request Forgery)漏洞。通过这款工具,安全研究人员和渗透测试人员可以高效地发现与利用S...
SSRF之基础篇
unexpectedthing的博客
10-20 408
文章目录SSRF前言简介:几个协议dict协议:file协议gopher协议CTFshowweb351file协议和http协议的区别web352web353web354web355web356参考文献:ctfshow wp其他ctfhub wp SSRF php协议详解(重要) 前言 关于内网和外网的区别: https://zhuanlan.zhihu.com/p/147282153 简介: SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器
SSRF工具
mingyqf的博客
11-06 1103
Gopherus - https://github.com/tarunkant/Gopherus Gopherus可以帮助我们直接生成Gopher payload,以利用SSRF(服务器端请求伪造)并获得RCE(远程代码执行), 常用的还有以下两个工具 SSRFmap - https://github.com/swisskyrepo/SSRFmap shellver - https://github.com/0xR0/shellver ......
什么是SSRF以及如何预防-----代码实例
jimmyleeee的专栏
05-19 993
SSRF的预防代码实例
SSRF学习记录
web1的博客
09-01 256
什么是SSRF? SSRF全称是Server-Side Request Forgery,它就是攻击者诱使服务器向攻击者指定的域发送HTTP请求,可以用来建立恶意的连接 危害 1、针对服务器本身的SSRF攻击 1.1将stockApi参数中的 URL 更改为 http://localhost/admin 这应该显示管理界面。 <a href="/admin/delete?username=carlos">Delete</a> 1.2阅读 HTML ,确定删除目标用户的 URL,即
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF漏洞详解】 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,...
国光师傅的SSRF靶场docker环境.zip
01-14
总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好...
redis安全学习小记1
08-03
SSRF(Server-Side Request Forgery)攻击中,攻击者可能利用 `%2A2%0d%0a%244%0d%0aAUTH%0d%0a%246%0d%0a123123%0D%0A`来绕过认证。 Redis支持多种数据类型,包括字符串、哈希、列表、集合和有序集合。这些数据...
SSRF利用总结
04-24
SSRF漏洞利用总结,类似SQL注入小计的形式,总结地比较完整。
乌云峰会猪猪侠ppt-关于SSRF
03-26
该资源是猪猪侠在2016年乌云峰会上发表演讲的PPT(已被转成PDF),内容是关于SSRF漏洞,我之前找这个找了很久,在这里分享出来,供大家参考学习,共同进步。
SSRF 漏洞笔记
qq_32812063的博客
11-25 1171
SSRF
SSRF(服务器端请求伪造)漏洞
无痕的博客
08-09 820
服务端请求伪造SSRF的介绍及检测等
SSRF深入各种高级实战用法
G0mini的博客
12-11 1102
SSRF深入各种高级实战用法
SSRF 漏洞:外网隔离就绝对安全了吗?
我乐了的博客
01-30 1282
SSRF(Server-Side Request Forgery,服务端请求伪造)是指攻击者向服务端发送包含恶意 URL 链接的请求,借由服务端去访问此 URL ,以获取受保护网络内的资源的一种安全漏洞。SSRF 常被用于探测攻击者无法访问到的网络区域,比如服务器所在的内网,或是受防火墙访问限制的主机。SSRF 漏洞的产生,主要是因为在服务端的 Web 应用,需要从其他服务器拉取数据资源,比如图片、视频、文件的上传/下载、业务数据处理结果,但其请求地址可被外部用户控制。
SSRF漏洞(服务器端请求伪造)
赤赤三的博客
03-21 2164
中间人(SSRF就是中间人)攻击,服务端请求伪造,主要攻击内网,打redis和weblogic特别厉害,目标网站的内部系统(他是从内部系统访问的,所以通过它攻击外部系统无法访问的内部系统,也就是目标网站当成中间人)。 大部分漏漏洞都是参数给变量的时候没有做任何限制导致漏洞。 攻击主要结果: 写webshell(需要知道web路径,有增删改查权限,gopher协议的使用,使用工具生成gopher 攻击ssrfpayload) 反弹shell(获取操作系统命令) 原理: 根本原因: SS.
SSRF扫描工具汇总记录
墨痕诉清风的博客
01-11 293
SSRFmap介绍SSRF经常被用来利用其他服务上的操作,这个框架旨在轻松地发现和利用这些服务。SSRFmap接受Burp请求文件作为输入,并接受一个参数进行模糊处理。输入参数由 burp suite 请求文本信息组成如下Win64;v=b3;q=0.7q=0.9帮助使用方法Python ssrfmap.py -r 抓到的请求包 -p 漏洞参数 -m redis -lhost=需要反弹到某个服务器的ip --lport=反弹到服务器的某个ip其中 -m 模块为选择利用的方式常用的有。
学习ssrf相关的知识体系
04-27
好的,关于学习SSRF(Server-Side Request Forgery)相关的知识体系,我可以给你一些建议: 1. 理解SSRF的概念和原理:SSRF是指攻击者利用服务器端应用程序的漏洞,构造恶意请求,从而在未经授权的情况下访问和攻击内部系统。要深入了解SSRF,首先需要理解它的概念和原理。 2. 学习SSRF的攻击方式和技术:攻击者可以利用SSRF漏洞进行多种攻击,如访问内部系统、执行任意命令等。学习SSRF的攻击方式和技术可以帮助你更好地理解和应对SSRF攻击。 3. 掌握SSRF的检测和修复方法:要有效地防御SSRF攻击,需要掌握SSRF的检测和修复方法。这包括对应用程序的漏洞扫描、安全配置和代码审计等方面的掌握。 4. 学习SSRF相关的工具和框架:有很多工具和框架可以帮助你发现和修复SSRF漏洞,如Burp Suite、OWASP ZAP、Netsparker等。学习和熟练使用这些工具和框架可以提高你的SSRF漏洞检测和修复能力。 希望这些建议可以帮助你更好地学习SSRF相关的知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值