iT邦幫忙

2024 iThome 鐵人賽

DAY 11
0
Security

WEB仔也要懂資安嗎系列 第 11

11/Server-side Request Forgery(SSRF)

  • 分享至 

  • xImage
  •  

Server-side Request Forgery(伺服器端請求偽造)
跟昨天的CSRF不同,
Server-side Request Forgery是藉著Server端的漏洞,把網站的Server當作跳板,連到其他內部Server取得資料或進行操作,又或者把網站的Server當作跳板連到其他外部網站作攻擊。

以hitcon揭露的親子天下SSRF漏洞為例
https://zeroday.hitcon.org/vulnerability/ZD-2023-01042
攻擊者可以透過修改url的方式把親子天下的網站Server當作跳板,連到其他外部網站,
若是藉此進行非法的行為,其他網站的Server端留存的連線紀錄會是親子天下的網站Server IP。


上一篇
10/Cross-site request forgery(CSRF)
下一篇
12/Broken Access Control
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言