Server-Side Request Forgery(服务器端请求伪造)
这是在2021年中新出的类别,这是种看着不起眼,但是要是配置不当,就容易引发严重的后果.
SSRF 定义
SSRF 全称是服务器端请求伪造(Server-Side Request Forgery)
是利用一个服务器向另一个服务器发送请求
还有个极其相似的兄弟叫CSRF(XSRF) , 全称是跨站点请求伪造
也就是伪造使用者身份向目的服务器发送非法请求。
SSRF 流程

我们结合定义和此图,可以理解SSRF的基本流程
但是我们要想一个简单的问题:我们为何不能向主机B直接发送请求呢?
可能一:这个主机B是服务器A所在的内网一种设备,并没有配置外网 IP 。比方说是 SQL 服务器什么的,减轻服务器A的处理压力。
可能二:内网中可能有其他厂家资源,虽然进行了严格的外网限制,但是却对内网所属的服务器没有进行严格的限制。
以我的普通私人服务器为例

腾讯云给了用户一个公网 IP 和内网 IP
其中公网 IP 是对外开放的IP
而内网 IP 是服务器集群里的内部 IP
我可以利用此服务器做哪些操作呢?
-
我

最低0.47元/天 解锁文章
2234

被折叠的 条评论
为什么被折叠?



