既然学习了内网安全,我想在这里谈一下针对内网的SSRF漏洞。SSRF服务端请求伪造是由攻击者构造请求,由服务端发起请求的漏洞。它的危害在于能影响内网内的其他计算机。
一、形成原理
被攻击的服务器能从其他服务器获取数据,但是并没有对目标地址进行过滤与限制
二、攻击方式
·对内网进行端口扫描
·攻击内网的应用程序
·对内网web应用进行指纹识别,识别出企业内部资产信息
·利用file协议读取本地文件
三、防范
·限制请求的端口只能是web端口,只允许访问http和https的请求
·限制不能访问的内网ip
·屏蔽返回的详细信息