SSRF 不但可以用于信息内网探测，还能达到远程命令执行的效

[单选题]

SSRF 不但可以用于信息内网探测，还能达到远程命令执行的效果（）

查看正确选项

猿来

发表于 2018-07-28 13:02:39 回复(0)

航小天

SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内网。（正因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内网）

发表于 2018-10-18 08:31:35 回复(0)

xianyd

网站访问大致步骤：

用户在地址栏输入网址 --》向目标网站发送请求 --》目标网站接受请求并在服务器端验证请求是否合法，然后返回用户所需要的页面 --》用户接收页面并在浏览器中显示

【此处的请求默认为www.xxx.com/a.php?image=（地址）】

那么产生SSRF漏洞的环节在哪里呢？目标网站接受请求后在服务器端验证请求是否合法

产生的原因：服务器端的验证并没有对其请求获取图片的参数（image=）做出严格的过滤以及限制，导致可以从其他服务器的获取一定量的数据

例如：

如果我们将http://www.abc.com/1.jpg换为与该服务器相连的内网服务器地址会产生什么效果呢？

如果存在该内网地址就会返回1xx 2xx 之类的状态码，不存在就会其他的状态码

终极简析: SSRF漏洞就是通过篡改获取资源的请求发送给服务器，但是服务器并没有发现在这个请求是合法的，然后服务器以他的身份来访问其他服务器的资源。

发表于 2019-04-07 20:20:58 回复(0)

提交观点

问题信息

网络基础

上传者：林呼

难度：

3条回答 336收藏 3520浏览

扫一扫，把题目装进口袋