摘要:
漏洞介绍 SSRF(Server-side Request Forgery,服务器请求伪造)SSRF目标是外网无法访问的内部系统,由于服务端能请求到自身相连而与外部环境隔离的内部系统,因此攻击者构造请求,由服务端发起请求。 漏洞原理 SSRF的形成是因为服务器端提供了从其他服务器获取的功能但是对目标 阅读全文
摘要:
是什么? 目录遍历是网络配置缺陷,导致目录可以被任意浏览,使得一些隐私文件和目录被泄露。 为什么? 没有对../目录设置过滤、加密或权限,恶意用户可以跳转遍历服务器上的任意文件。 防御方案 加密参数传递的数据 对参数进行base64加密后在进行传参 编码绕过 URL编码 绕过文件后缀过滤 攻击者会在 阅读全文