什么叫 ssrf 以及 ssrf 的防御

一、什么叫 ssrf 以及 ssrf 的防御？

(1)SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构

造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF 攻击的目标是从

外网无法访问的内部系统

(2)SSRF 统一错误信息，避免用户可以根据错误信息来判断远程服务器端口状态

1.限制请求的端口为 HTTP 常用的端口，比如 80,443,8080,8088 等

2.黑名单内网 IP。

3.禁用不需要的协议，仅仅允许 HTTP 和 HTTPS

二、srf用途

那么SSRF 可以做什么呢？

1.内外网的端口和服务扫描

2.主机本地敏感数据的读取

3.内外网主机应用程序漏洞的利用

4.内外网Web站点漏洞的利用

三、SSRF漏洞的寻找（漏洞常见出没位置）：

注：个人觉得所有调外部资源的参数都有可能存在ssrf漏洞

• 1）分享：通过URL地址分享网页内容
• 2）转码服务
• 3）在线翻译
• 4）图片加载与下载：通过URL地址加载或下载图片
• 5）图片、文章收藏功能
• 6）未公开的api实现以及其他调用URL的功能
• 7）从URL关键字中寻找