服务器请求伪造(SSRF)漏洞
作者:互联网
服务器请求伪造(SSRF)漏洞
简介
服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。
危害
SSRF可以对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议读取本地文件。
内网服务防御相对外网服务来说一般会较弱,甚至部分内网服务为了运维方便并没有对内网的访问设置权限验证,所以存在SSRF时,通常会造成较大的危害。
SSRF利用
- 访问正常文件
- 端口扫描(扫描内网机器)
- 读取系统本地文件
- 内网Web应用指纹识别
- 攻击内网应用
标签:请求,SSRF,端口扫描,本地,服务器,伪造 来源: https://www.cnblogs.com/zhoujinxuan/p/16289789.html