漏洞 | 什么是服务器端请求伪造 (SSRF)?
服务器端请求伪造(SSRF)是OWASP 2021年十大漏洞中唯一有自己类别的漏洞类型。近年来,包括Capital One和MS Exchange攻击在内的几起重大网络安全事件,都使用了SSRF作为入侵技术之一。
SSRF漏洞让攻击者从有漏洞的应用程序的后端服务器发送精心制作的请求。犯罪分子通常使用 SSRF 攻击来针对位于防火墙后面且无法从外部网络访问的内部系统。攻击者还可以利用 SSRF 访问通过被利用服务器的环回接口 (127.0.0.1) 提供的服务。
当攻击者完全或部分控制web应用程序发送的请求时,就会出现SSRF漏洞。一个常见的例子是攻击者可以控制web应用程序向其发出请求的第三方服务URL。
服务器端请求伪造(SSRF)是OWASP 2021年十大漏洞中唯一有自己类别的漏洞类型。近年来,包括Capital One和MS Exchange攻击在内的几起重大网络安全事件,都使用了SSRF作为入侵技术之一。
SSRF漏洞让攻击者从有漏洞的应用程序的后端服务器发送精心制作的请求。犯罪分子通常使用 SSRF 攻击来针对位于防火墙后面且无法从外部网络访问的内部系统。攻击者还可以利用 SSRF 访问通过被利用服务器的环回接口 (127.0.0.1) 提供的服务。
当攻击者完全或部分控制web应用程序发送的请求时,就会出现SSRF漏洞。一个常见的例子是攻击者可以控制web应用程序向其发出请求的第三方服务URL。
展开
评论
点赞
- #AI 抢我饭碗的瞬间# chatGPT-image-2.0还是太过逆天了
![[发呆]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_4.28b310a.png)
,我这还是用的缩减版,只会画图的设计师真的要被抢饭碗了。![[吐舌]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_95.6b0752f.png)
“模仿主流手游的抽卡页面,设计一个新手游《西游释厄传》的抽卡页面,要求充满3A游戏黑神话悟空的风格,当期角色为 唐僧。”5 赞 · 2 评论 - #AI 抢我饭碗的瞬间# 老板说“现在AI这么厉害,你就不能用AI分析一下群聊天记录看看谁在偷懒吗?给我看一下运动群里,哪个的运动打开时间最长,把他列入黑名单。”说得我无力反驳,然后默默打开agent,上传聊天记录让AI分析一下,好家伙,小丑究竟是我自己。这算不算AI抢我饭碗?5 赞 · 0 评论
- 今天去郑大一附院东院区看病,找了一个专家一个主任,专家上来开了3检查,主任说专家开的对,开的好,我说之前来过,你们急诊的一个医生,说了不需要哪个检查,我说不可能有那种情况,人家说,他急诊不是专业的....检查检查排除了不是更好吗,你要是不想查不查就行...这帮子医生怎么都一个德行呢?连哄带吓!还说我们花的钱她们一分没得,那我就好奇,你们天美的一年几十上百万工资绩效,谁给的,没有病人这检查那开药,你天美的吃屎,对现有的医疗体系真是绝望啊,就不能看看,开个药,吃了好了,90后小时候都这么活过来了,都天美的取缔了,孙贼,太会玩了2 赞 · 32 评论
![[发呆]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_4.28b310a.png)
,我这还是用的缩减版,只会画图的设计师真的要被抢饭碗了。![[吐舌]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_95.6b0752f.png)