ssrf

ssrf是是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，ssrf攻击的目标是外网无法访问的内部系统。

 

漏洞原理

ssrf的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没对目标地址做过过滤与限制

攻击方式如下：

1.对外网、服务器所在内网、本地端口进行端口扫描，获取一些服务的banner信息

2.攻击运行在内网或本地的应用程序

3.对内网web应用进行指纹识别，识别企业内部的资产信息

4.攻击内外网的web应用，主要是使用http get请求就可以实现的攻击比如：struts2,sqli

利用file协议读取本地文件等