qq_1062290728的博客

原文 概述 web应用经常与内部或外部资源进行交互。虽然你可能期望只有预期的资源才能处理你发送的数据，然而处理不当的数据可能产生注入攻击。其中一种注入攻击是ssrf。一个成功的ssrf攻击能够授予攻击者访问内部服务、访问内部文件、执行受限操作的权限。在一些情况下，它甚至导致RCE。 测试目标 确认ssrf注入点 测试注入点是否可利用 评估漏洞的严重程度 如何测试 当测试ssrf时，你试图使目标服务器无意中加载或报错可能是恶意的内容。最常见的测试是本地和远程文件包含。ssrf还有另一方面：一种信任关系。通