热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   新闻动态 -   正文

什么叫 ssrf 以及 ssrf 的防御

知了堂姐
2024-07-08 17:22:16
0

一、什么叫 ssrf 以及 ssrf 的防御?

(1)SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构

造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从

外网无法访问的内部系统

(2)SSRF 统一错误信息,避免用户可以根据错误信息来判断远程服务器端口状态

1.限制请求的端口为 HTTP 常用的端口,比如 80,443,8080,8088 等

2.黑名单内网 IP。

3.禁用不需要的协议,仅仅允许 HTTP 和 HTTPS


二、srf用途

那么SSRF 可以做什么呢?

1.内外网的端口和服务扫描

2.主机本地敏感数据的读取

3.内外网主机应用程序漏洞的利用

4.内外网Web站点漏洞的利用

三、SSRF漏洞的寻找(漏洞常见出没位置):

注:个人觉得所有调外部资源的参数都有可能存在ssrf漏洞

  • 1)分享:通过URL地址分享网页内容
  • 2)转码服务
  • 3)在线翻译
  • 4)图片加载与下载:通过URL地址加载或下载图片
  • 5)图片、文章收藏功能
  • 6)未公开的api实现以及其他调用URL的功能
  • 7)从URL关键字中寻找


大家都在看

Java培训机构靠谱吗?Java培训机构辨别指南

2024-07-08 浏览次数:0

鸿蒙开发需要学什么语言?鸿蒙开发工程师培训有必要...

2024-07-08 浏览次数:0

成都java程序员培训学费多少?

2024-07-08 浏览次数:0

网络攻击的种类有哪些?最常见得攻击方式怎么破解

2024-07-08 浏览次数:0

高校讲座|网络信息安全这么重要!

2024-07-08 浏览次数:0

探索网络安全领域:安服与渗透测试工作区别

2024-07-08 浏览次数:0
最新资讯