第 11 屆 iThome 鐵人賽
分享至
是 CSRF 的好兄弟 SSRF XD
SSRF(伺服器請求偽造)是一種由攻擊者在服務端發起的偽造的請求,一般攻擊的目標為無法透過外網存取的內部系統。
伺服器端未對請求URL進行過濾或過濾不完全。
SSRF 形成的原因大都是由於伺服器端提供了從其他服務器應用程式存取資料或執行應用程式的功能,同時沒有對目標地址做過濾與權限控管,像說透過指定的 URL 地址存取主機的資源、下載內部的資源…等等。
https://URL/ssfr.php?url=file://etc/passwd
IT邦幫忙