SSRF(服务端请求伪造)原理/防御

本文阅读 2 分钟
首页 安全分享,WEB安全 正文

原理

攻击者伪造服务器获取资源的请求,通过服务器来攻击内部系统

比如端口扫描,读取默认文件判断服务架构,或者配合SQL注入等其他漏洞攻击内网的主机

触发点/检测

SSRF常出现在URL中,比如分享,翻译,图片加载,文章收藏等功能

对以上的功能点抓包分析请求的URL,如果访问的是另一个服务器的地址,就可能存在SSRF漏洞

防御

SSRF常用的防御手段有五种

  1.     禁用不需要的协议,只允许http和https请求
  2.     黑名单内网IP,请求的地址不能是内网的地址
  3.     限制请求的端口为http常用的端口,来防止端口探测
  4.     限制错误信息,避免用户根据错误信息判断端口状态
  5.     过滤返回的信息,展示给用户之前,先判断是否符合规范
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118800866
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复