SSRF 漏洞描述

服务端请求伪造 (Server-Side Request Forgery), 可以通过服务端发起请求来获取机器内部无法访问到的数据
SSRF漏洞形成的主要原因是服务端接口中包含了要请求内容的 URL 参数, 并且没有对 URL 参数进行判断

危害: 攻击者可利用该漏洞对企业内网进行大规模扫描, 了解内网结构, 并可能结合内网漏洞直接获取服务器权限

容易出现 SSRF 漏洞的场景

Read on →