漏洞"/>
WEB安全的总结学习与心得(十四)——SSRF漏洞
WEB安全的总结与心得(十四)
01 什么是SSRF漏洞
SSRF全称为服务端请求伪造(Server-Side Request Forgery),攻击者能够从易受攻击的web程序,发送精心设计的请求的对其他网站进行攻击,即利用一个可发起网络请求服务当做跳板来攻击其他服务。
02 SSRF的危害
一般用于探测内网端口及信息,查看文件,甚至可以getshell,攻击内外网的web应用。主要还是攻击内网或者本机应用,例如内网存在弱密码或者是某些问题cms;有些易受攻击的应用并不会开放端口,但是默认本机运行开放;还可以读取本机文件,有些敏感文件,例如数据库配置文件
03 SSRF靶场演示
第一步:抓包构造payload,访问的是127.0.0.1
第二步。根据暴力破解结果尝试访问端口
04 SSRF防御策略
限制请求的端口;过滤返回的信息;黑名单内网ip;禁用其他协议,允许http,https
更多推荐
WEB安全的总结学习与心得(十四)——SSRF漏洞
发布评论