徐伟轩博客-爱写歌的程序员思考和科普的日常自媒体

统计
搜索到 1 条相关 的结果
2020-11-18

SSRF漏洞挖掘与应用[渗透测试]

SSRF漏洞挖掘与应用[渗透测试]
SSRF漏洞SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。![SSRF漏洞挖掘与应用[渗透测试]][1]1.端口扫描2.攻击运行在内网或本地的有漏洞程序(比如溢出);3.可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹4.使用网络协议读取本地文件5.DoS攻击(请求大文件,始终保持连接keep-alive always)附常见攻击协议1)Gopher 协议(主力军)对目标发起攻击的主要协议 gopher://xxxxxx:port/主体 主体部分需要进行url编码2).Dict协议探测端口操作,以及版本信息 diet: //xxxx:port/info3).ftp协议只能探测是否存在ftp,不能进行暴力破解4).http协议用来探测是否存在ssrfSSRF 漏洞的寻找一、从WEB功能上寻找我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应...
徐伟轩
2020-11-18 19:13

设计/编程/开发

575 次阅读
2 条评论
2020年11月18日
575 阅读
2 评论

亲爱的朋友

一切伟大,源于勇敢的开始。

人生倒计时

今日已经过去小时
这周已经过去
本月已经过去
今年已经过去个月

标签云

富强民主文明和谐自由平等公正法制丨爱国敬业诚信友善