前言
水一下
SSRF漏洞介绍
SSRF(服务器请求伪造):由攻击者构造请求,由服务端发起请求的安全漏洞。
一般情况下,SSRF攻击的目标无法访问内部系统,但是请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内网
SSRF漏洞原理
由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
例如:黑客操作服务器端从指定的URL地址获取网页文本内容,加载指定地址的图片等;利用存在漏洞的web应用作为代理攻击远程和本地服务器。
主要攻击方式
1.对外网服务器所在的内网进行端口扫描。
2.攻击运行在内网或本地的应用程序。
<