文章目录
- 前言
- 一、SSRF简介
- 二、ssrf漏洞验证
- 三、通过dict协议获取服务器端口运行的服务
- 四、通过file协议访问计算机中的任意文件
- 五、sftp及tftp协议在SSRF中的作用
前言
SSRF漏洞是指攻击者可以利用目标应用程序的功能,向内部网络或者外部网络发起请求。攻击者可以通过构造恶意请求让目标应用程序访问攻击者无法访问的内部网络服务或外部网络服务,从而泄露内部网络敏感信息,或者攻击外部网络服务。
SSRF漏洞的种类包括:直接绕过限制进行请求、使用特殊协议绕过限制进行请求、使用内网IP或本地物理地址绕过限制进行请求、利用DNS Rebinding进行攻击等。
一、SSRF简介
-
SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。
