SSRF
漏洞介绍
SSRF(Server-side Request Forgery,服务器请求伪造)SSRF目标是外网无法访问的内部系统,由于服务端能请求到自身相连而与外部环境隔离的内部系统,因此攻击者构造请求,由服务端发起请求。
漏洞原理
SSRF的形成是因为服务器端提供了从其他服务器获取的功能但是对目标地址没有做出过滤和限制。
SSRF利用存在缺陷的服务器作为代理,攻击远程和本地服务器
攻击方式
- 对服务器所在的内网、本地进行端口扫描,获取banner信息(服务名称、版本、服务类型等)。
- 攻击运行内网的应用程序
- 攻击运行内外网的Web应用
- 利用file协议读取本地文件等。
