雪痕*资料

本文主要介绍雪痕*资料 方法和在新技术下所面对的“挑战”,方便大家深入理解雪痕*资料 过程。本文也将分享雪痕*资料 所遇到的问题和应对策略,怎么解决怎么做的问题。
通过深入本文可以理解代码原理,进行代码文档的下载,也可以查看相应 Demo 部署效果。

什么是SSRF漏洞

SSRF(服务器端请求伪造)是一种由攻击者构造请求,服务器端发起请求的安全漏洞,所以,一般情况下,SSRF攻击的目标是外网无法访问的内部系统。

SSRF漏洞形成原理。

SSRF的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制,比如操作服务端从指定URL获取网页文本,加载指定地址的图片,利用的是服务端的请求伪造。所以,SSRF是利用存在缺陷的Web应用作为代理,攻击远程和本地的服务器。
主要的攻击方式:

  • 对外网所在内网、本地进行端口扫描,获取一些服务的banner信息。
  • 攻击运行在内网或本地的应用程序。
  • 对内网Web应用进行指纹识别,识别企业内部的资产信息。
  • 利用file协议读取本地文件等等
    参考文献:《Web安全攻防》

SSRF漏洞代码分析

<?php function curl($url){     $ch = curl_init();     curl_setopt($ch,CURLOPT_URL,$url);     curl_setopt($ch,CURLOPT_HEADER,0);     curl_exec($ch);     curl_close($ch); } $url = $_GET['url']; curl($url); ?> 

在ssrf页面中,程序获取GET请求url,通过curl_init()初始化curl组件后,将参数带入curl_setopt($ch,CURLOPT_URL,$url),然后调用curl_exec请求该url,服务会将banner信息返回客户端。功能是获取url的内容并返回页面上。例如,请求百度。
雪痕*

简单利用

如果我们将url改为本地文件路径,我们可以通过file协议读取本地文件。例如我们在参数url后面接file:///c:/windows/win.ini
雪痕*

SSRF修复建议

  1. 限制请求的端口只能为Web端口,只允许访问HTTP/HTTPS的请求
  2. 限制不能访问内网IP
  3. 屏蔽返回的详细信息

雪痕*资料部分资料来自网络,侵权毕设源码联系删除

区块链毕设网(www.qklbishe.com)全网最靠谱的原创区块链毕设代做网站
部分资料来自网络,侵权联系删除!
资源收费仅为搬运整理打赏费用,用户自愿支付 !
qklbishe.com区块链毕设代做网专注|以太坊fabric-计算机|java|毕业设计|代做平台 » 雪痕*资料

提供最优质的资源集合

立即查看 了解详情