SSRF(服务端请求伪造)原理/防御

已于 2024-06-23 17:30:01 修改
阅读量1.6w 收藏 2
点赞数 3
分类专栏: 网络安全面试题汇总 文章标签: 网络安全 web安全 安全
于 2021-07-16 15:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118800866
版权

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

原理

攻击者伪造服务器获取资源的请求,通过服务器来攻击内部系统

比如端口扫描,读取默认文件判断服务架构,或者配合SQL注入等其他漏洞攻击内网的主机

触发点/检测

SSRF常出现在URL中,比如分享,翻译,图片加载,文章收藏等功能

对以上的功能点抓包分析请求的URL,如果访问的是另一个服务器的地址,就可能存在SSRF漏洞

防御

SSRF常用的防御手段有五种

  1.     禁用不需要的协议,只允许http和https请求
  2.     黑名单内网IP,请求的地址不能是内网的地址
  3.     限制请求的端口为http常用的端口,来防止端口探测
  4.     限制错误信息,避免用户根据错误信息判断端口状态
  5.     过滤返回的信息,展示给用户之前,先判断是否符合规范
士别三日wyx
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
07-31
SSRF服务端请求伪造攻击-漏洞银行大咖面对面10-Mat
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
服务器请求伪造SSRF漏洞)
shy的博客
12-02 969
SSRF漏洞简介 SSRF是由攻击者构造请求,服务器发起请求安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统。(正因为请求是由服务器发起的,所以服务端请求到与自身相连而与外网隔离的内部系统)。 SSRF漏洞原理 大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址进行过滤与限制。 SSRF漏洞源码 <?php function curl($url){ $ch=curl_init(); curl_setopt($ch,CURLOPT_URL,$url
SSRF服务端请求伪造
精品博客,你值得一看~
07-27 288
是一种由攻击者构造请求,由服务端发起请求安全漏洞,一般情况况下SSRF攻击的目标是从外网无法访问到的内部系统(正因为它是由服务端发 起的,所以它能够请求到与自身相连而与外网隔离的内部系统)。6、图片加载与下载:通过URL地址加载或下载图片,图片加载远程图片地址此功能用到的地方很多,但大多都是比较隐秘,比如在有些公司中的加载自家图片服务器上的图片用于展示。
SSRF 服务端请求伪造, 简介,SSRF实验, 漏洞探测, 绕过技巧, SSRF防御
探测???
11-07 392
SSRF服务器端请求伪造)是一种恶意网络行为,攻击者可以利用这种漏洞发送来自服务器的请求,以访问或操作服务器通常无法访问的内部资源。SSRF通常存在于应用程序中,该应用程序接受用户提供的URL,并基于该URL发出服务器端的HTTP请求。http可以访问其他内网IP的服务器,也可以做任意URL跳转nttp://examplesite/ssrf.php?
Web常规漏洞】SSRF服务端请求伪造漏洞
soldi_er的博客
09-16 917
文章目录参考 概念 —— 产生原因 ——可能存在漏洞的代码 ——漏洞分类 —— 潜在危害 漏洞利用 —— 漏洞防御 —— 漏洞绕过 概念:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种利用漏洞伪造服务器端发起请求。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 漏洞产生原因:服务端提供从其他服务器应用获取数据的功能,但没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容、加载指定地址的图片、下载等。 可能存在SSRF漏洞的PHP代码:
API安全——SSRF服务端请求伪造原理以及防范
Demonslzh的博客
06-18 1910
SSRF(服务器端请求伪造)是一种安全漏洞,在最新的OWASP的API安全问题Top10榜单中,它允许攻击者引诱服务器发起服务器本不打算进行的请求。、
WEB漏洞原理SSRF 服务端请求伪造
过期的秋刀鱼
09-04 163
服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。
SSRF(服务端请求伪造)
不知名白帽的博客
05-29 848
由于服务器提供了从其他服务器引用获取数据的功能但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的的地址来让后端服务器对其发起请求并返回对该目标地址请求的数据
SSRF(服务端请求伪造)漏洞
墨鱼菜鸡
12-12 165
目录 SSRF SSRF漏洞的挖掘 SSRF漏洞利用 SSRF漏洞防御 SSRF SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞,是一种由攻击者构造请求,由服务器端发起请求安全漏洞,本质上是属于信息泄露漏洞。 SSRF漏洞原理:很多web应用都提供了...
Web渗透-SSRF服务端请求伪造
最新发布
WolvenSec的博客
06-22 873
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者利用漏洞服务器发送恶意请求的攻击方式。SSRF漏洞通常出现在服务器端的web应用中,应用允许用户提供的输入被服务器用来发起请求,而没有对输入进行充分的验证或限制。这使得攻击者可以构造恶意请求,访问内部资源或服务,甚至在某些情况下,控制服务器。
第一节 SSRF原理介绍-01
09-15
SSRF(Server-Side Request Forgery,服务端请求伪造)是一种构造请求,由服务端发起请求安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。 SSRF漏洞定义: SSRF漏洞定义是指...
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造SSRF)易受攻击的实验室该存储库包含容易受到服务器端请求伪造SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用...
反序列化漏洞原理防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
路由器/交换机工作原理(RIP/OSPF协议工作原理)
wangyuxiang946的博客
08-01 1万+
作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。
DNS原理/解析过程
wangyuxiang946的博客
06-20 1万+
DNS协议属于应用层, 使用UDP协议传输( 服务器之间的备份使用TCP ) , 作用在于 将域名映射为IP地址
提权方式及原理
wangyuxiang946的博客
07-25 1万+
通过getshell控制Web服务器后,通常权限很低,需要通过一些方式来提升权限
ssrf服务器请求伪造
07-22
SSRF 是一种安全漏洞,攻击者可以利用它来伪造服务器发出的请求。攻击者可以通过构造恶意请求,使服务器发送请求到内部网络或其他受保护的资源。 为了防止 SSRF 攻击,有几个建议和防护措施可以考虑: 1. 输入验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值