0x00 什么是SSRF SSRF漏洞尋找內網入口，是突破內網的一個方法。 SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統。（正是因為它是 ...

自己最近原本是想深入的學習一下關於xss、csrf的東西的，可是感覺這些東西需要有很好的js的基礎來進行學習。。還有感覺自己感覺也差不多該要學習內網滲透了。。正好ssrf在內網這一塊也是比較有用的。於是現在學習一下。 我這里面是以php里面的curl為例子來學習的。 漏洞代碼 ...

xss是什么？ 跨站腳本攻擊(XSS)，是最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意腳本代碼到正常用戶會訪問到的頁面中，當正常用戶訪問該頁面時，則可導致嵌入的惡意腳本代碼的執行，從而達到惡意攻擊用戶的目的。 xss的作用 1、盜用cookie，獲取敏感信息。可通過 ...

XXE簡介 XXE（XML外部實體注入，XML External Entity) ，漏洞在對不安全的外部實體數據進行處理時，可能存在惡意行為導致讀取任意文件、探測內網端口、攻擊內網網站、發起DoS拒絕服務攻擊、執行系統命令等問題。簡單來說，如果系統能夠接收並解析用戶的XML，但未禁用 ...

SSRF漏洞介紹： 　　SSRF漏洞（服務器端請求偽造）：是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統。（正是因為它是由服務端發起的，所以它能夠請求到與它相連而與外網隔離的內部系統）。 SSRF漏洞原理： 　　SSRF ...

ssrf存在任何語言編寫的應用中。 SSRF原理及原因介紹 SSRF(server-site request forery,服務端請求偽造)是一種請求偽造，由服務器發起請求的安全漏洞。CSRF是客戶端請求偽造，由客戶端發起。 即讓服務器去請求內網中資源，（因為外網訪問不了內網的資源，目的 ...

0x01 概述 SSRF(Server-side Request Forge, 服務端請求偽造)。 由攻擊者構造的攻擊鏈接傳給服務端執行造成的漏洞，一般用來在外網探測或攻擊內網服務。 0x02 SSRF的危害 掃內網 向內部任意主機的任意端口 ...

如上圖所示代碼，在進行外部url調用的時候，引入了SSRF檢測：ssrfChecker.checkUrlWithoutConnection(url)機制。 SSRF安全威脅： 很多web應用都提供了從其他的服務器上獲取數據的功能。使用用戶指定的URL，web應用可以獲取 ...