SSRF 服务器请求伪造

约 2 分钟读完

SSRF 服务器请求伪造

1.危害

  • 探测内网,扫描资产
  • 对内网的中间件进行漏洞利用
  • CC攻击:发送合法请求,发送响应慢的服务器,在应用层,DDOS在传输层,占满带宽
  • 读取任意文件,或者访问大文件,造成溢出
  • 通过Redis写入Webshell或建立反弹链接

2、存在的地方

  • 社会分享功能
  • 在线翻译
  • 转码服务
  • 图片加载,下载功能,读取远程图片
  • 图片文章收藏功能
  • 网站采集,网站抓取

3.实际案例

image-20241130144347778

4.如何发现SSRF漏洞

实际案例

1.爬取地址

2.查看是否请求了其他地址

也可以使用谷歌语法

5.Github工具

SSRF-Testing

Gopherus

SSRFmap

6、防御、

  • 禁用一些无关紧要的协议
  • 限制请求端口
  • 设置URl白名单
  • 过滤返回的信息
  • 同意错误信息:比如访问3306,如果报错了,直接封装,不能让用户看到
← CSRF 跨站请求伪造 文件包含漏洞 →