2018Web攻防训练营SSRF漏洞原理介绍1.SSRF漏洞定义2.SSRF漏洞原理3.SSRF漏洞代码分析4.SSRF漏洞利用课程内容01SSRF漏洞定义SSRF漏洞定义SSRF(server-siterequestforery,服务端请求伪造)是一种构造请求,由服务端发起请求的安全漏洞。客户端服务端内网资源一般情况下,SSRF的目标就是与外部隔离的内网资源。02SSRF漏洞原理SSRF漏洞原理SSRF形成原因:服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制。主要方式:1、对外网、服务器所在内网、本地进行端口扫描,获取Banner信息。2、测试运行在内网或本地的应用程序。3、利用file协议读取本地文件等。03SSRF漏洞代码分析SSRF漏洞代码分析存在SSRF漏洞代码:curl函数用来发送请求用户通过构造url来进行访问04SSRF漏洞利用SSRF漏洞利用利用SSRF进行文件读取1.SSRF漏洞定义2.SSRF漏洞原理3.SSRF漏洞代码分析4.SSRF漏洞利用总结再见欢迎关注Web安全训练营课程
