WEB安全的总结学习与心得(十四)——SSRF漏洞

最新推荐文章于 2024-05-29 12:18:46 发布
最新推荐文章于 2024-05-29 12:18:46 发布
阅读量2k 收藏
点赞数
分类专栏: WEB安全学习总结 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681434/article/details/122641808
版权

WEB安全的总结与心得(十四)

01 什么是SSRF漏洞

SSRF全称为服务端请求伪造(Server-Side Request Forgery),攻击者能够从易受攻击的web程序,发送精心设计的请求的对其他网站进行攻击,即利用一个可发起网络请求服务当做跳板来攻击其他服务。

02 SSRF的危害

一般用于探测内网端口及信息,查看文件,甚至可以getshell,攻击内外网的web应用。主要还是攻击内网或者本机应用,例如内网存在弱密码或者是某些问题cms;有些易受攻击的应用并不会开放端口,但是默认本机运行开放;还可以读取本机文件,有些敏感文件,例如数据库配置文件

03 SSRF靶场演示

第一步:抓包构造payload,访问的是127.0.0.1
在这里插入图片描述第二步。根据暴力破解结果尝试访问端口
在这里插入图片描述
在这里插入图片描述

04 SSRF防御策略

限制请求的端口;过滤返回的信息;黑名单内网ip;禁用其他协议,允许http,https

ultracool
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
我的web渗透学习心得(一)
whiteinblack
05-01 1万+
        好久没写博客了,上次写博客还是在上学期.而且以前写博客都是写写一周做了些什么.这次分享一些自己学web渗透的一些心得吧(仅作个人心得,谨慎参照,有大佬路过还望指点一下~).此前一直在学Java web.这次趁着五一假期好好钻研了下web渗透.其实我一直觉得每个学计算机的人都有黑客梦,炫酷吊炸天啊......其实很早我就想学web安全.上学期在工作室学了一个学期的前端打了下基础.看了...
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
WEB安全学习总结心得(六)——XSS漏洞
weixin_44681434的博客
05-05 1095
WEB安全学习总结心得(六) 01 XSS漏洞之简介 属性 属性 介绍 英文全称 Cross Site Script 中文全称 跨站脚本 缩写 XSS 危害 盗取用户信息,钓鱼,制造蠕虫 类型 存储型,反射型,DOM型 漏洞类型 客户端漏洞 名字由来 由于CSS已经被层叠样式表(Cascading Style Sheets)占用了,于是业内人士就换了一个...
web安全 学习心得
最新发布
m0_67516554的博客
05-29 814
首先,XSS漏洞(跨站脚本攻击)是一种发生在Web前端的漏洞,它允许攻击者在页面中注入恶意的脚本代码。当受害者访问这个页面时,这些恶意代码就会在受害者的浏览器上执行呢。具体那 XSS漏洞的原理可以分为以下几个步骤:注入阶段:攻击者通过各种方式(比如表单、URL参数等)向Web应用注入恶意脚本代码。存储阶段(针对存储型XSS):如果Web应用存在漏洞,它可能会将攻击者注入的恶意脚本代码存储在数据库或文件中,这样每次有用户访问相关的页面时,这些恶意代码都会被加载和执行。
WEB安全学习总结心得(七)——CSRF漏洞
weixin_44681434的博客
05-10 501
WEB安全学习总结心得(七) 01 CSRF漏洞之简介 属性 属性 介绍 英文全称 Cross-site request forgery 中文全称 跨站请求伪造 危害 执行恶意操作(如被转账);制造蠕虫等 漏洞类型 客户端漏洞 定义 利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。 CSRF漏洞触发机制 ...
web安全 漏洞初体验
m0_46377671的博客
10-29 620
**感受:**这两天,老师拿了授权的网站给我们这些新手试试手,让让我们找找漏洞。自己用的sql xss 上传比较多,也只熟悉这些,试了很多次,人就憨了,网站一检测到你的入侵行为,就报“waf检测到恶意注入”,“你存在hack行为,已禁你ip,若误封请与管理员联系”,“你的hack行为,以保存你的特征码”等等不友好信息,人就呆了,有点不知所措,有时有些网站做的很差,接口没写完,功能没实现,用户体验极差,感觉网站就只做了一半就跑,有点不好吧。回到检测漏洞,我感觉我所知道的检测方法太贫穷了,我就晚上又学了点kal
WEB安全学习总结心得(一)
weixin_44681434的博客
01-20 3671
** WEB安全学习总结心得(一) ** 这个假期,我开启了web安全学习之旅,根据课程的安排,首先学习了一些web相关的基础知识。 web英文全称为world wide web,中文名称为万维网,我们常称之为www,简单地说,我们平时通过浏览器上网其实就是webweb主要经历了web1.0和web2.0两个时代,web1.0即万维网的初期,比较典型地比如门户网站和个人网站,提供静态页面供...
104-web漏洞挖掘之SSRF漏洞1
08-03
SSRF(Server-Side Request Forgery)漏洞是网络安全领域中的一种常见问题,它允许攻击者通过构造特定的请求,使得服务器端发起恶意的外部请求。SSRF漏洞的本质是利用服务器作为一个代理,攻击者可以借此访问那些仅...
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF(Server Side Request Forgery)是一种网络安全漏洞攻击者可以通过控制Web应用去发起针对内网或者外网的服务请求,实现对目标系统的攻击。本文将详细介绍WebLogic SSRF的工作原理、攻击案例以及CVE-...
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用...
【技术分享】SSRF漏洞学习 .pdf
09-05
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种网络安全漏洞,它允许攻击者利用服务器的身份,发起对外部资源的请求。这些请求可能原本是服务器内部网络的一部分,对外不可见,因此攻击者可以通过...
WEB安全学习总结心得(八)——点击劫持
weixin_44681434的博客
06-26 241
WEB安全学习总结心得(八) 01 点击劫持之简介 特点 1.隐蔽性较高 2.骗取用户操作 3.UI-覆盖攻击 4.利用iframe或其他标签的属性 定义 通过覆盖不可见的框架误导受害者点击而造成的攻击行为。 ...
WEB安全总结学习心得(十六)——代码执行漏洞
weixin_44681434的博客
01-30 2565
WEB安全总结心得十四) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
WEB安全总结学习心得(十三)——XXE实体注入漏洞
weixin_44681434的博客
01-29 359
WEB安全总结心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
学习笔记六:web安全总结
mcc的博客
06-22 365
学习笔记六:web安全总结 最近两周没怎么更新博客了,今天中午恰好有空,最近几天完成了web安全这一块的学习,就更新了这篇博文。 sql注入 手工注入(sqlabs) sqlmap注入 除了基本的扫描之外,还可以通过仿写tamper文夹里的文件来自定义模块,关于这块,印象还是比较深的,包括burpsuite改包,url编码,盲注之类的。以及一下waf绕过技术 xss DOM xss ...
WEB安全总结学习心得(九)——URL跳转
weixin_44681434的博客
06-30 195
WEB安全总结学习心得(九) 01 URL跳转之简介 实现方式 1.Header头跳转 2.Javascript跳转 3.META标签跳转
web安全总结
刘志龙的专栏/技术博客
05-04 768
最近被公司强迫本鸟研究安全,没办法,看了一个月的资料,mark总结下。安全问题 解决方案 推荐工具 xss跨站脚本攻击 1.给关键cookie加上httponly属性,js将无法访问 2.对html标签、css标签、url地址等处用户输入定的关键字符 &,<,> ,",'等进行encode 1.httponly 2.owasp esapi csrf跨站请求伪...
web优化及web安全攻防学习总结
weixin_30848775的博客
09-05 235
web优化 前端:(高性能网站建设进阶指南) 使用gzip压缩(节省服务器的 网络带宽) 减少http请求(减少DNS请求所耗费的时间、减少服务器压力、减少http请求头) 使用cdn(用户可以从cdn最近节点获取资源,加快网站浏览速度) 添加expires头(通过这种方式,可以实现直接从浏览器缓存中读取,而不需要去服务端判断是否已经缓存) 使用外部的javascr...
web安全学习
qq_44813849的博客
07-16 343
今天老师讲了很多但自己可能很多都没学习过所以很多地方不能理解,所以只能通过做题来了解每个工具及函数的用法,就先把今天学到的先记下。 web的基础知识 http协议 客户端request请求消息内容:大致由请求行、请求头部、空行和请求数据四个部分组成。 http请求消息Response 服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息;HTTP响应也由四个部分组成,分别是:状态行、...
WEB漏洞深度解析:CSRF与SSRF案例及防护策略
在第29天的WEB漏洞讲解中,主要关注了两种常见的安全问题:CSRF(Cross-Site Request Forgery)漏洞SSRF(Server-Side Request Forgery)漏洞。这两种漏洞威胁到Web应用程序的安全,尤其是在处理用户提交的敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ultracool

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值