网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验

网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验。

SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

SSRF形成的原因:服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器

看不懂????

换种理解就是,html,php,asp,jsp 具有这些文件后缀的文件通常储存在web服务器(网站服务器)中,而且web服务器都具有独立ip

其中网站访问大致步骤:

用户在地址栏输入网址 ------> 向目标网站发送请求 -------> 目标网站接受请求并在服务器端验证请求是否合法,然后返回用户所需要的页面 -------> 用户接收页面并在浏览器中显示

这里假设请求的网址为:www.xxx.com/a.php?image=http://www.abc.com/1.jpg

那么产生SSRF漏洞的环节在哪里呢?目标网站接受请求后在服务器端验证请求是否合法

产生的原因:服务器端的验证并没有对其请求获取图片

你可能感兴趣的:(Hacker技术提升基地,网络,tcp/ip,网络协议,SSRF,漏洞绕过,服务器端请求伪造,漏洞挖掘)