SSRF漏洞简单分析（csrf漏洞）

SSRF漏洞简单分析（csrf漏洞）

什么是SSRF漏洞

SSRF(服务器端请求伪造)是一种由攻击者构造请求，服务器端发起请求的安全漏洞，所以，一般情况下，SSRF攻击的目标是外网无法访问的内部系统。

SSRF漏洞形成原理。

SSRF的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制，比如操作服务端从指定URL获取网页文本，加载指定地址的图片，利用的是服务端的请求伪造。所以，SSRF是利用存在缺陷的Web应用作为代理，攻击远程和本地的服务器。主要的攻击方式：

对外网所在内网、本地进行端口扫描，获取一些服务的banner信息。攻击运行在内网或本地的应用程序。对内网Web应用进行指纹识别，识别企业内部的资产信息。利用file协议读取本地文件等等参考文献:《Web安全攻防》

SSRF漏洞代码分析

简单利用

SSRF修复建议

限制请求的端口只能为Web端口，只允许访问HTTP/HTTPS的请求限制不能访问内网IP屏蔽返回的详细信息

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。