当前位置: 首页 > news >正文

【DoraBox实战】————8、SSRF分析与研究

news 来源:原创 2024/5/7 10:08:30

SSRF简介

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)

SSRF形成原因

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。

SSRF的验证

对于SSRF的验证可以通过DNSLog平台、个人VPS来进行验证

SSRF漏洞利用技巧

URL地址过滤的绕过

1)http://www.baidu.com@10.10.10.10与http://10.10.10.10 请求是相同的

相关文章:

  • CEYE平台使用简介
  • 【DoraBox实战】————9、任意文件读取
  • 【DoraBox实战】————10、XXE分析与研究
  • 如何关闭电脑开机自启
  • 【BlackArch Linux】————1、BlackArch Linux安装
  • 【KaliLinux】————1、KaliLinux渗透测试环境搭建(MATE版本)
  • 【KaliLinux】————2、KaliLinux渗透测试环境搭建(XFce版本)
  • 【KaliLinux】————3、Kalilinux基本环境配置
  • PocBox漏洞测试验证辅助平台环境搭建与原理分析
  • SSI常用payload收集
  • Xpath注入详解
  • 【upload-labs】————1、环境搭建
  • 【upload-labs】————2、Pass-01
  • 【upload-labs】————3、Pass-02
  • 【漏洞扫描】————1、AWVS安装与使用
  • Google 是如何开发 Web 框架的
  • -------------------- 第二讲-------- 第一节------在此给出链表的基本操作
  • [deviceone开发]-do_Webview的基本示例
  • [NodeJS] 关于Buffer
  • avalon2.2的VM生成过程
  • Babel配置的不完全指南
  • C++11: atomic 头文件
  • co模块的前端实现
  • express.js的介绍及使用
  • IndexedDB
  • Java 11 发布计划来了,已确定 3个 新特性!!
  • Java编程基础24——递归练习
  • node学习系列之简单文件上传
  • PAT A1017 优先队列
  • PHP 使用 Swoole - TaskWorker 实现异步操作 Mysql
  • redis学习笔记(三):列表、集合、有序集合
  • SQL 难点解决:记录的引用
  • windows-nginx-https-本地配置
  • Yeoman_Bower_Grunt
  • 计算机常识 - 收藏集 - 掘金
  • 扑朔迷离的属性和特性【彻底弄清】
  • 推荐一款sublime text 3 支持JSX和es201x 代码格式化的插件
  • 学习ES6 变量的解构赋值
  • mysql面试题分组并合并列
  • puppet连载22:define用法
  • ​ArcGIS Pro 如何批量删除字段
  • #前后端分离# 头条发布系统
  • #微信小程序(布局、渲染层基础知识)
  • $emit传递多个参数_PPC和MIPS指令集下二进制代码中函数参数个数的识别方法
  • (1)bark-ml
  • (day 2)JavaScript学习笔记(基础之变量、常量和注释)
  • (八)光盘的挂载与解挂、挂载CentOS镜像、rpm安装软件详细学习笔记
  • (八十八)VFL语言初步 - 实现布局
  • (附源码)spring boot智能服药提醒app 毕业设计 102151
  • (幽默漫画)有个程序员老公,是怎样的体验?
  • *Django中的Ajax 纯js的书写样式1
  • .Net 4.0并行库实用性演练
  • .Net CF下精确的计时器
  • .net core使用ef 6
  • .net图片验证码生成、点击刷新及验证输入是否正确