SSRF漏洞原理、利用方式及修复方案?Java和PHP的SSRF区别?
原理:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
SSRF漏洞一般位于远程图片加载与下载、图片或文章收藏功能、URL分享、通过URL在线翻译、转码等功能点处。
利用:
1)CURL支持协议
2)利用file协议读取文件
3)利用dict协议查看端口开放
4)利用gopher协议反弹shell
防御:
1)限制协议为HTTP、HTTPS
2)不用限制302重定向
3)设置URL白名单或者限制内网IP
HttpURLConnection ,file_get_contents();等,漏洞函数不同??
SSRF漏洞一般位于远程图片加载与下载、图片或文章收藏功能、URL分享、通过URL在线翻译、转码等功能点处。
利用:
1)CURL支持协议
2)利用file协议读取文件
3)利用dict协议查看端口开放
4)利用gopher协议反弹shell
防御:
1)限制协议为HTTP、HTTPS
2)不用限制302重定向
3)设置URL白名单或者限制内网IP
HttpURLConnection ,file_get_contents();等,漏洞函数不同??
发表于 2019-04-13 17:46:33
回复(0)
问题信息
相关试题
-
扫描二维码,关注牛客网
- 意见反馈
-
下载牛客APP,随时随地刷题
扫一扫,把题目装进口袋
- 求职之前,先上牛客
-
扫描二维码,进入QQ群
扫描二维码,关注牛客公众号
- 公司地址:北京市朝阳区北苑路北美国际商务中心K1座一层-北京牛客科技有限公司
- 联系方式:010-60728802 投诉举报电话:010-57596212(朝阳人力社保局)
- 牛客科技© All rights reserved admin@nowcoder.com
- 京ICP备14055008号-4 增值电信业务经营许可证 营业执照 人力资源服务许可证
-
京公网安备
11010502036488号
