Server-side Request Forgery(伺服器端請求偽造)
跟昨天的CSRF不同,
Server-side Request Forgery是藉著Server端的漏洞,把網站的Server當作跳板,連到其他內部Server取得資料或進行操作,又或者把網站的Server當作跳板連到其他外部網站作攻擊。
以hitcon揭露的親子天下SSRF漏洞為例
https://zeroday.hitcon.org/vulnerability/ZD-2023-01042
攻擊者可以透過修改url的方式把親子天下的網站Server當作跳板,連到其他外部網站,
若是藉此進行非法的行為,其他網站的Server端留存的連線紀錄會是親子天下的網站Server IP。
iThome鐵人賽
看影片追技術