SSRF攻擊原理
什麼是SSRF
一個對外的Web接口,改接口能讓用戶控制curl命令,去訪問別的web服務。php
簡圖以下
web
想象一下當用戶請求的baidu.com/x.php?image=google.com/1.jpg 改爲 baidu.com/x.php?image=private.com/php.info,是否是以爲本來不可能訪問到內網的主機,如今就很容易就能作到了。瀏覽器
原理
PHP代碼演示:curl
$url = $_GET['URL'];
curl($url);
function curl($url){
$ch = curl_init(); // 初始化curl會話對象
curl_setopt($ch,CURLOPT_URL,$url); // 抓取URL並把它傳遞給瀏覽器
curl_setopt($ch,CURLOPT_HEADER,0);
curl_exec($ch); // 執行請求
curl_close($ch);
}
1.查看代碼的時候檢查是否使用curl_setopt( )函數;
2.在看傳入的url是不是來自外部;函數
防禦
跳轉的url參數只能是白名單裏面的url。google
相關文章
- 1. 【SSRF】SSRF漏洞攻擊與防護
- 2. 漏洞之SSRF攻擊
- 3. ssrf漏洞原理、攻擊、修復(防禦)(下篇)
- 4. SSRF攻擊原理、作用、具體操作
- 5. XSS攻擊原理
- 6. CSRF攻擊原理
- 7. csrf攻擊原理
- 8. DDOS攻擊原理
- 9. DDOS攻擊攻擊種類和原理
- 10. CC攻擊和DDOS攻擊的原理
- 更多相關文章...
- • MyBatis的工作原理 - MyBatis教程
- • BASE原理與最終一致性 - NoSQL教程
- • ☆技術問答集錦(13)Java Instrument原理
- • Java Agent入門實戰(三)-JVM Attach原理與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 字節跳動21屆秋招運營兩輪面試經驗分享
- 2. Java 3 年,25K 多嗎?
- 3. mysql安裝部署
- 4. web前端開發中父鏈和子鏈方式實現通信
- 5. 3.1.6 spark體系之分佈式計算-scala編程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在線
- 8. 在線畫圖
- 9. devtools熱部署
- 10. 編譯和鏈接
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 【SSRF】SSRF漏洞攻擊與防護
- 2. 漏洞之SSRF攻擊
- 3. ssrf漏洞原理、攻擊、修復(防禦)(下篇)
- 4. SSRF攻擊原理、作用、具體操作
- 5. XSS攻擊原理
- 6. CSRF攻擊原理
- 7. csrf攻擊原理
- 8. DDOS攻擊原理
- 9. DDOS攻擊攻擊種類和原理
- 10. CC攻擊和DDOS攻擊的原理