SSRF漏洞

SSRF漏洞

  • SSRF漏洞本质:

服务器请求伪造,(SSRF第一个S是服务端的意思,CSRF第一个字母C是客户端的意思),由攻击者构造形成,服务器端发起的请求的一种安全漏洞。

SSRF攻击目标从外网无法访问的内部系统(内网)。

  • SSRF与CSRF区别:

CSRF是服务器端没有对用户提交的数据(token)进行校验,对http请求包的referer字段没有校验,导致用户的cookie伪造用户请求发送到服务器。

SSRF是服务器对用户提交的url没有进行过滤。

  • 漏洞危害:

1,可以对内外服务器进行端口扫描,获取内网地址(端口扫描:可以找到有哪些端口开放,开放对应编号的端口就意味着它拥有什么功能,例如:sql数据库默认端口为3306),若进入内网,就可以读取本地文件。

2、伪协议读取文件。

  • 内网安全性低,外网安全性高。
  • 常见在漏洞函数:

PHP中的curl(),file_get_contents(),fsockopen()等函数是几个主要产生SSRF漏洞的函数。

  • 防御手段:
  1. 过滤127等关键词。
  2. 仅允许http或https请求。

2024年3月27日星期三

相关推荐
RainCity2 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
LinXunFeng10 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
通信小呆呆14 天前
当算法有了“五感”:多模态数据融合如何向人体感官协同学习?
人工智能·学习·算法·机器学习·机器人
H__Rick14 天前
自动对焦学习-3
人工智能·学习·计算机视觉
Daisy Lee14 天前
量化学习-第1章-什么是量化金融
学习·金融·datawhale
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
YM52e14 天前
买菜计算器小应用 - HarmonyOS ArkUI 开发实战-PC版本
学习·华为·harmonyos·鸿蒙·鸿蒙系统
小雨下雨的雨14 天前
HarmonyOS ArkUI训练营入门-组件掌握系列-Animation 动画效果实现-PC版本
学习·华为·harmonyos·鸿蒙
闪闪发亮的小星星14 天前
高斯光以及高斯光公式解释
笔记
cqbzcsq14 天前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息