SSRF-确保URL不会引发SSRF漏洞

最新推荐文章于 2025-12-24 10:29:31 发布
最新推荐文章于 2025-12-24 10:29:31 发布
阅读量219 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: MAC 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ZHOU_VIP/article/details/142492859 
import java.net.URI;
import java.net.URISyntaxException;
import java.util.regex.Pattern;
import java.util.regex.Matcher;

public class UrlValidator {

    private static final Pattern SAFE_URL_PATTERN = Pattern.compile("^(http|https)://[^/]+/.*$");

    public static boolean isSafeUrl(String url) {
        if (url == null || url.isEmpty()) {
            return false;
        }

        // 基本的 URL 格式验证
        Matcher matcher = SAFE_URL_PATTERN.matcher(url);
        if (!matcher.matches()) {
            return false;
        }

        try {
            URI uri = new URI(url);

            // 检查协议是否为 http 或 https
            if (!"http".equals(uri.getScheme()) && !"https".equals(uri.getScheme())) {
                return false;
            }
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ssrf漏洞中的url编码解码
qq_42303523的博客
04-06 1902
http协议和gopher协议的编码解码过程 http协议 当我们输入“http://ip:host/xxx”时,浏览器会向ip:host发送http请求。如果“xxx”中含有“%xx”格式的内容,http协议会原封不动地发送给接收方,接收方在提取出参数之后再将参数中的“%xx”解码。 举例来说,如果我们访问“http://127.0.0.1/index.php?a=%26&b=123”,服务器接受到的报文中含有字符串“?a=%26&b=123”,然后服务器提取出参数a是“%26”,参数b是
SSRF-labs-master靶场
weixin_68416970的博客
07-30 1016
SSRF-labs-master靶场
web安全---SSRF漏洞
qq_41683305的博客
03-05 379
简介 SSRF:服务器请求伪造,是一种攻击者构造形成由服务端发起请求 的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 个人理解:服务器接收了你构造的代码,然后去执行,执行后将结果返回给你 SSRF原理 大都是因为服务端提供从其他服务器获取数据功能,并且没有对目标地址做过滤和限制造成的、比如从指定URL获取网页加载图片下载等等。 php下面函数的使用不当可能会导致SSRF curl() file_get_c
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5828
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
什么是SSRF?
qq_32799165的博客
04-24 2861
本文详细分析了服务器端请求伪造(SSRF)的概念、工作原理及其分类,并探讨了四种常见的攻击场景及相关的代码示例。文章进一步提出了多项防御SSRF攻击的策略,包括输入验证、建立访问白名单、限制URL跳转和重定向,同时强调了应用层防火墙和安全插件的重要性。通过实际攻击案例的分析,本文展现了理解SSRF攻击、识别风险并采取有效防控措施的必要性,旨在帮助开发者和组织加强网络安全防护。
SSRF 漏洞解析:原理、危害与防范策略
weixin_43822401的博客
06-10 1146
SSRF 漏洞是一种隐蔽且危险的安全漏洞,攻击者可以利用它访问或控制未经授权的系统。为了防止 SSRF 漏洞,需要对用户输入进行严格的校验,并使用安全的编码和解码库。此外,还需要定期进行安全测试,及时发现并修复 SSRF 漏洞。安全意识是防范安全漏洞的第一步。希望本文能够帮助您了解 SSRF 漏洞的危害,并采取相应的防范措施,保障您的系统安全。
精选资源
Build Your SSRF Exploit Framework SSRF-一个只影响有钱人的漏洞-猪猪侠.pdf
09-17
SSRF漏洞通常出现在应用中,当程序不恰当地处理了来自用户输入的URL或者请求时,攻击者可以操纵服务器去访问内网资源,甚至执行特定操作。 在“Build Your SSRF Exploit Framework SSRF-一个只影响有钱人的漏洞-...
结合漏洞ssrf-lab学习SSRF漏洞
Lemon's blog
03-14 2043
前言: 学习新知识,这次通过Weblogic 存在的SSRF漏洞ssrf-lab,来学习SSRF漏洞 0x01 了解SSRF SSRF简介: SSRF(Server-Side Request Forgery),即服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制,本质上是属于信息泄露漏洞SSRF漏洞原理: SSRF 形成的原因大都是由于服务端提供了从其他服务器应用...
ssrf漏洞详解以及ssrf-lab
wo41ge的博客
12-17 1029
SSRF漏洞分析 漏洞地址 SSRF漏洞详解 这个就很nice! 存在SSRF漏洞的站点主要利用四个协议,分别是http协议、file协议、gopher协议、dict协议 http协议:进行内网的ip扫描、端口探测 file协议:通过file协议可以读取主机内任意文件。 dict协议:一个字典服务器协议,允许客户端在使用过程中访问更多字典并且该协议约定服务器端侦听端口号:2628,通过dict协议可获取本地redis服务配置信息。 redis服务是在6379端口开启的 gopher协议:通过gopher协议
Java代码审计】SSRF
网络安全从业者的学习笔记
02-27 1902
SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
SSRF漏洞
F2444790591的博客
06-19 858
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造。SSRF利用存在缺陷的Web 应用作为代理攻击远程和本地的服务器。 curl_exec()
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 6659
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
浅析SSRF漏洞
qq_51553814的博客
09-10 1009
一、概念 SSRF(Server-Side Request Forgery:服务器端请求伪造) SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 我的理解是,正常情况下,我们无法访问内网,或者说无法向内网发送报文,但是ssrf是通过服务器访问内网,由于服务器属于内部系统,那么内网就不会拒绝服务器的请求,从而达到一个访问内网的目的。 正
c++之基础A(二维数组)第四课
2302_76761070的博客
12-21 333
本文介绍了二维数组在C++游戏开发中的基本应用,特别是迷宫类游戏的实现。通过示例代码演示了二维数组的输入输出操作,以及如何计算每行和每列的和。输入输出采用双重循环结构,行列求和则分别通过固定行或列索引来实现。这些基础操作为游戏开发中处理地图数据等场景提供了实用方法,适合编程新手学习二维数组的基本使用技巧。
Java ArrayList和线性表
Harrybili的博客
12-22 790
在集合框架中,ArrayList是一个普通的类,实现了List接口,具体框架图如下说明是以泛型方式实现的,使用时必须要先实例化实现了接口,表明ArrayList支持随机访问实现了Cloneable接口,表明ArrayList是可以clone的实现了接口,表明ArrayList是支持序列化的5.和Vector不同,ArrayList不是线程安全的,在单线程下可以使用,在多线程中可以选择Vector或者CopyOnWriteArrayList。
MyBatis-Plus 单元测试中 Lambda Mock 的坑与解决
qq_43657722的博客
12-17 1328
本文总结了 MyBatis-Plus 在单元测试中使用 LambdaWrapper 时常见的 Lambda 缓存异常问题,分析其根源在于 Mock 环境缺失真实上下文。通过精简示例说明为何 any(LambdaWrapper.class) 易出错,并给出使用 any() 的稳定解决方案,强调单元测试应聚焦业务逻辑、避免过度关注 SQL 与 Lambda 细节。
电子书《Java编程思想(第4版)》
吴名氏的博客
12-23 3229
电子书《Java编程思想(第4版)》
计算机毕业设计|基于springboot + vue健康茶饮销售管理系统(源码+数据库+文档)
最新发布
12-24 769
本文介绍了基于SpringBoot+Vue的健康茶饮销售管理系统开发。系统采用前后端分离架构,后端使用SpringBoot框架简化配置,前端采用Vue实现组件化开发,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。系统功能完整,包含商品管理、用户认证等模块,通过严格测试确保安全性。文末附有源码获取方式和最新毕设选题推荐,适合作为计算机专业学生的项目参考。
通过adb命令获取某个window或View/子View的绘制内容并输出为png图片的方法
Railshiqian的博客
12-23 926
本文介绍了通过adb工具获取Android系统Window和View结构的方法。首先需要建立adb与ViewServer的连接(端口4939),然后通过"LIST"命令获取可dump的窗口列表,再使用"DUMP [窗口ID]"命令查看指定窗口的View树结构。该方法可帮助开发者分析应用界面问题,替代已废弃的Hierarchy View工具。示例展示了如何获取系统导航栏TopCarSystemBar的View层级信息,包括ViewGroup的各种属性和状态。
ssrf-testing
03-31
- **Burp Suite**: 这是一个非常流行的Web应用安全测试平台,其中包含了多种扩展插件可以帮助发现各种类型的漏洞,其中包括针对SSRF的具体模块[^5]。 示例代码展示如何设置 Burp 来拦截流量: ```bash export ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZHOU_VIP

您的鼓励将是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值