如何防范SSRF导致的潜在服务器请求伪造风险?
- 内容介绍
- 文章标签
- 相关推荐
本文共计701个文字,预计阅读时间需要3分钟。
漏洞原理+SSRF是服务器请求伪造,web应用程序提供从其他服务器获取数据的功 能,使用指定用户的url可以下载、查看数据,如果未对目标地址做过滤与限制。攻击者就可以利用这个漏洞。
漏洞原理SSRF是服务器请求伪造,web应用程序提供从其他服务器获取数据的功能,使用指定用户的url可以下载、查看一下数据,如果没有对目标地址做过滤与限制。攻击者就可以利用这台服务器去攻击与他处于同一内网的其他服务器。
漏洞危害1. 扫描内网设备端口
2. 内网web应用指纹识别
3. 读取本地文件
4. 攻击内网网站
漏洞检测当我们发现一个数据包中有参数是一个url地址,或者是重定向到其他地址时,就有可能存在SSRF漏洞,我们可以将url地址改为本地127.0.0.1或者内网的地址进行尝试。
漏洞利用 1. 针对服务器本身的ssrf应用程序允许来自本地计算机的任何用户在不登录的情况下进行管理访问,也是为了灾难恢复的目的。
2. 针对其他后端系统的ssrf应用程序服务器能够与用户无法直接访问的其他后端系统进行交互,就是与这台服务器处于同一内网的其他服务器,同一内网环境下,无需身份验证就可以访问其他系统的一些功能。
本文共计701个文字,预计阅读时间需要3分钟。
漏洞原理+SSRF是服务器请求伪造,web应用程序提供从其他服务器获取数据的功 能,使用指定用户的url可以下载、查看数据,如果未对目标地址做过滤与限制。攻击者就可以利用这个漏洞。
漏洞原理SSRF是服务器请求伪造,web应用程序提供从其他服务器获取数据的功能,使用指定用户的url可以下载、查看一下数据,如果没有对目标地址做过滤与限制。攻击者就可以利用这台服务器去攻击与他处于同一内网的其他服务器。
漏洞危害1. 扫描内网设备端口
2. 内网web应用指纹识别
3. 读取本地文件
4. 攻击内网网站
漏洞检测当我们发现一个数据包中有参数是一个url地址,或者是重定向到其他地址时,就有可能存在SSRF漏洞,我们可以将url地址改为本地127.0.0.1或者内网的地址进行尝试。
漏洞利用 1. 针对服务器本身的ssrf应用程序允许来自本地计算机的任何用户在不登录的情况下进行管理访问,也是为了灾难恢复的目的。
2. 针对其他后端系统的ssrf应用程序服务器能够与用户无法直接访问的其他后端系统进行交互,就是与这台服务器处于同一内网的其他服务器,同一内网环境下,无需身份验证就可以访问其他系统的一些功能。