0x00 什么是SSRF SSRF漏洞寻找内网入口，是突破内网的一个方法。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是 ...

自己最近原本是想深入的学习一下关于xss、csrf的东西的，可是感觉这些东西需要有很好的js的基础来进行学习。。还有感觉自己感觉也差不多该要学习内网渗透了。。正好ssrf在内网这一块也是比较有用的。于是现在学习一下。 我这里面是以php里面的curl为例子来学习的。 漏洞代码 ...

xss是什么？ 跨站脚本攻击(XSS)，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。 xss的作用 1、盗用cookie，获取敏感信息。可通过 ...

XXE简介 XXE（XML外部实体注入，XML External Entity) ，漏洞在对不安全的外部实体数据进行处理时，可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说，如果系统能够接收并解析用户的XML，但未禁用 ...

SSRF漏洞介绍： 　　SSRF漏洞（服务器端请求伪造）：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。 SSRF漏洞原理： 　　SSRF ...

ssrf存在任何语言编写的应用中。 SSRF原理及原因介绍 SSRF(server-site request forery,服务端请求伪造)是一种请求伪造，由服务器发起请求的安全漏洞。CSRF是客户端请求伪造，由客户端发起。 即让服务器去请求内网中资源，（因为外网访问不了内网的资源，目的 ...

0x01 概述 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务。 0x02 SSRF的危害 扫内网 向内部任意主机的任意端口 ...

如上图所示代码，在进行外部url调用的时候，引入了SSRF检测：ssrfChecker.checkUrlWithoutConnection(url)机制。 SSRF安全威胁： 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取 ...