服务端请求伪造-SSRF 学习笔记

目录

一、SSRF定义

二、SSRF利用

1.协议

三、SSRF防御

1.输入验证

四、靶场、实战练习

1.靶场

平台:BUGKU


一、SSRF定义

SSRF,即服务端请求伪造,本质上是服务端开放了某种服务给用户,恶意用户通过构造恶意的服务请求,使得服务器向内部或者外部发起不安全的请求,如此最后使得攻击者达到攻击的目的。

二、SSRF利用

1.协议

可以使用协议直接去读服务器端本地文件:

file协议,用法:file://,如:

读取根目录下的flag.txt文件:

复制代码
file:///flag.txt
file://127.0.0.1/flag.txt
file://127.00.00.1/flag.txt   #绕waf可使用127.00.00.1
file://2130706433/flag.txt    #绕waf可使用127.0.0.1的十进制表示2130706433

三、SSRF防御

1.输入验证

包括白名单验证(指定可访问的内容)、黑名单过滤(指定不可访问的内容)、禁用协议(file等)

四、靶场、实战练习

1.靶场

平台:BUGKU

2022 HackINI nextGen1

2022 HackINI nextGen2

Bugku 2022 HackINI nextGen1 与 2022 HackINI nextGen2 详解

相关推荐
RainCity4 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
LinXunFeng11 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
闪闪发亮的小星星16 天前
高斯光以及高斯光公式解释
笔记
零零信安16 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
cqbzcsq16 天前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息
上海云盾第一敬业销售16 天前
深入解析WAF的工作原理与机制
web安全·ddos
阿米亚波16 天前
【Windows】QEMU 启动 openEuler aarch64/arm64 架构系统 + 离线软件源
linux·windows·经验分享·笔记·架构·arm
自传.16 天前
尚硅谷 Vibe Coding|第三章(1) Claude Code深度使用与进阶技巧 学习笔记
笔记·学习·尚硅谷·vibecoding
憧憬成为web高手16 天前
l33t-hoster
学习·web安全·网络安全