SSRF-UrlValidator校验

于 2024-09-24 16:04:26 发布
阅读量148 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: MAC 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ZHOU_VIP/article/details/142492108

例1: 

import java.util.regex.Pattern;

public class UrlValidator {

    private static final Pattern SAFE_URL_PATTERN = Pattern.compile("^(http|https)://[^/]+/.*$");

    public static boolean isSafeUrl(String url) {
        if (url == null || url.isEmpty()) {
            return false;
        }

        // 验证 URL 是否符合安全模式
        Matcher matcher = SAFE_URL_PATTERN.matcher(url);
        if (!matcher.matches()) {
            return false;
        }

        // 验证是否为本地地址或内部地址
        try {
            URL u = new java.net.URL(url);
            String host = u.getHost();
            if (isLocalAddress(host) || isInternalAddress(host)) {
                return false;
            }
        } catch (Exception e) {
            return false;
        }
了解本专栏 订阅专栏 解锁全文 超级会员免费看
分享关于ssrf的检测技巧
hhiollk的博客
03-27 2668
SSRF(Server Side Request Forgery),翻译过来就是服务器请求伪造,意味着攻击者可以伪造来自服务器端的请求,并获取攻击者需要获取的数据。SSRF 漏洞出现的场景1.能够对外发起网络请求的地方,就可能存在 SSRF 漏洞2.远程资源调用功能(调用url,加载图片、在线翻译等)3.文件上传功能,在上传点修改type=url,将type=file改为type=url,然后将上传内容改为url。
javaSSRF代码审计
weixin_45653478的博客
06-24 693
HttpURLConnection 是 URLConnection 的子类, 用来实现基于 HTTP URL 的请求、响应功能,每个 HttpURLConnection 实例都可用于生成单个网络请求,支持GET、POST、PUT、DELETE等方式。在调用 URL.openConnection() 获取 URLConnection 实例的时候,真实的网络连接实 际上并没有建立,只有在调用 URLConnection.connect() 方法后才会建立连接。//htmlContent添加到html里面。
推荐项目:Validates URL —— 精准的URL验证工具
gitblog_00861的博客
08-24 980
推荐项目:Validates URL —— 精准的URL验证工具 在数字时代,数据的有效性至关重要,尤其是当涉及到链接和网址时。今天,我们向您隆重推荐一款旨在增强应用程序数据准确性的开源工具——Validates URL。这是一个专门为Ruby社区设计的gem,为ActiveRecord和ActiveModel添加了强大的URL验证功能,确保您的应用中的每个链接都合法且有效。 项目技术分析 Val...
url-validator:这是使用原始JavaScript构建的URL验证功能。 提供的示例是使用create-react-app在React.js中引导的。 该函数分解并使用正则表达式和URL语法规范验证URL
03-05
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从项目中删除单个构建依赖项。 相反,它将所有配置文件和传递性依赖项(web
SSRF 漏洞检测:防范未然的关键
weixin_43822401的博客
06-11 1197
SSRF 漏洞的检测对于防范 SSRF 漏洞至关重要。通过手动检测、自动化工具检测和在线检测平台,可以有效发现并修复 SSRF 漏洞,从而保障系统安全。
activemodel-url_validator:验证 URI 字符串属性
06-24
activemodel-url_validator 用法 添加到您的 Gemfile: gem 'activemodel-url_validator' 跑步: bundle install 然后将以下内容添加到您的模型中: validates :my_url_attribute , url : true 自定义选项 名称 价值 默认 描述 scheme 字符串数组 零 指定允许的方案类型。 allow_no_scheme 布尔值 错误的 是否允许方案较少的 URI。 allow_no_host 布尔值 错误的 是否允许主机较少的 URI。 validates :my_url_attribute , url : { scheme : [ 'https' ] } 模型外验证 如果您需要验证模型外的 url,您可以这样做: UrlValidator . valid?
SSRF漏洞验证及利用方法
热门推荐
W_seventeen的博客
02-29 1万+
基础知识 SSRF简介 SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。 由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。 最常见的例子:攻击者传入一个未经验证的URL,后端代码直接请求这个URL,就会造成SSRF漏洞。 其中...
ssrf-king-main.zip
12-28
SSRF-King是一款专门为BurpSuite设计的插件,其主要功能是自动化检测服务器端请求伪造(SSRF)漏洞。SSRF漏洞是一种安全漏洞,它允许攻击者通过服务器发起对内网的请求。这种漏洞的存在,可能会导致攻击者获取到原本...
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
基于单同步坐标系的SSRF-SPLL软件锁相环在并网逆变器、微电网和三相VSR中的电力电子仿真应用,基于单同步坐标系软件锁相环 SSRF -SPLL 适用于并网逆变器、微电网、三相VSR等应用 电
01-26
基于单同步坐标系的SSRF-SPLL软件锁相环在并网逆变器、微电网和三相VSR中的电力电子仿真应用,基于单同步坐标系软件锁相环 SSRF -SPLL 适用于并网逆变器、微电网、三相VSR等应用。 【电力电子仿真类】 ,基于单同步...
SSRF-Testing:SSRF(服务器端请求伪造)测试资源
04-23
SSRF(服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
SpringBoot自定义校验注解
HongYu012的博客
03-03 1281
校验注解的作用 系统执行业务逻辑之前,会对输入数据进行校验,检测数据是否有效合法的。所以我们可能会写大量的if else等判断逻辑,特别是在不同方法出现相同的数据时,校验的逻辑代码会反复出现,导致代码冗余,阅读性和可维护性极差。 自定义校验注解 引入依赖 Hibernate框架中有一个组件hibernate-validator专门用于数据校验,在平常的Spring项目中虽然数据层不使用Hibernate做ORM框架,但是hibernate-validator也经常被集成来做数据校验。...
java url有效性,如何在Java中检查有效的URL?
weixin_35456031的博客
02-12 263
What is the best way to check if a URL is valid in Java?If tried to call new URL(urlString) and catch a MalformedURLException, but it seems to be happy with anything that begins with http://.I'm not c...
java validator 框架_Struts2之Validator验证框架的详细介绍
weixin_39912566的博客
02-13 234
Struts2中提供了数据校验验证数据例如验证邮件、数字等。验证方式有3种:一是通过validate()方法,二是通过Xml,三是使用注解方式。一、初始化首先定义一个User类package com.cyw.test;import java.util.Date;public class User {private String name;private int age;private String...
ssrf靶场日记
m0_74196038的博客
12-06 90
ssrf(服务器请求伪造)发生的场景:客户端的某些请求需要服务器请求外部的url,就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制,导致客户端可能会能够恶意获取到服务器内部(内网)的信息ssrf(服务器请求伪造)发生的场景:客户端的某些请求需要服务器请求外部的url,就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制,导致客户端可能会能够恶意获取到服务器内部(内网)的信息。
Java代码审计】SSRF
网络安全从业者的学习笔记
02-27 1730
SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
java代码审计(入门级)—基础漏洞合集
weixin_49349476的博客
11-16 2545
介绍简单的java代码审计,识别程序中存在的经典漏洞
JAVA代码审计之SSRF
Jiajiazml的博客
09-23 2554
本文从漏洞原理、审计函数、漏洞危害、漏洞代码示例、实战案例、漏洞防御方式等几个方面介绍了SSRF漏洞攻击
Struts2之Validator验证框架的详细介绍
toBetterMe的博客
10-28 1003
Struts2中提供了数据校验验证数据例如验证邮件、数字等。验证方式有3种: 一是通过validate()方法, 二是通过Xml, 三是使用注解方式。 一、初始化 首先定义一个User类 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 ...
ssrf-testing
最新发布
03-31
### SSRF 测试方法与工具 服务器端请求伪造 (Server-Side Request Forgery, SSRF) 是一种攻击方式,允许攻击者通过目标应用程序发起内部网络或其他系统的 HTTP 请求。以下是关于如何执行 SSRF 测试以及可以使用的工具的相关信息。 #### 方法概述 SSRF 的测试通常涉及识别可能被利用的应用程序功能并验证其行为是否符合预期。常见的测试方法包括但不限于以下几种: - **URL 参数注入**:尝试向 URL 中注入不同的协议(如 `http://`, `file://` 或其他自定义协议),观察服务端返回的结果是否有异常响应[^4]。 - **IP 地址扫描**:输入本地回环地址 (`127.0.0.1`) 或私有 IP 范围内的地址来检测是否存在未授权访问漏洞。 - **时间延迟分析**:如果某些请求导致明显的延迟,则可能是由于防火墙规则或者代理配置不当引起的潜在风险。 #### 工具推荐 为了更高效地完成 SSRF 测试工作,可以选择一些专门设计用于此目的的安全评估软件包或框架: - **Burp Suite**: 这是一个非常流行的Web应用安全测试平台,其中包含了多种扩展插件可以帮助发现各种类型的漏洞,其中包括针对SSRF的具体模块[^5]。 示例代码展示如何设置 Burp 来拦截流量: ```bash export http_proxy=http://localhost:8080 https_proxy=http://localhost:8080 curl --proxy localhost:8080 'https://example.com/api?url=http://internal-service' ``` - **OWASP ZAP**: 另一款强大的开源渗透测试工具,支持自动爬取网站结构并与之交互的同时记录所有的HTTP会话数据流以便后续审查[^2]。 - **Swarmfuzzer**: Google 开发的一个模糊测试器项目,虽然主要用于浏览器安全性研究领域,但它也可以用来探索API接口层面可能出现的边界条件错误从而触发SSRF等问题。 #### 注意事项 尽管上述技术和工具有助于提高效率,但在实际操作过程中仍需注意合法合规性问题,确保所有活动都在授权范围内开展,并遵循相应的法律法规要求[^1]。 ```python import requests def test_ssrf(url): try: response = requests.get(url) print(response.status_code) return response.text except Exception as e: print(e) test_url = input("Enter the target URL:") result = test_ssrf(test_url) print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZHOU_VIP

您的鼓励将是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值