每天一个网安小知识:SSRF
一、SSRF漏洞是什么?
服务端请求伪造(Server-Side Request Forgery, SSRF)是一种网络安全漏洞。它允许攻击者利用一个存在缺陷的Web应用,以服务器自身的身份,向其能够访问的网络(包括内网、本地或外网)发送恶意的网络请求。
简单来说,攻击者无法直接访问一个企业的内部网络,但他可以欺骗该企业的对外服务器,让这台服务器“代替”他去访问内部网络,从而突破网络边界的隔离。在这个过程中,Web服务器就成了攻击者的“代理”或“傀儡”。
二、SSRF漏洞的危害
SSRF漏洞之所以被认为是“内外兼修”的顶级漏洞,是因为它的攻击范围极广,既能向内渗透,也能对外攻击。其中,对内网的攻击是其最核心、最致命的威胁。
1. 对内网的攻击
企业的内部网络通常被认为是安全区域,其防御措施远不如暴露在公网的服务。SSRF为攻击者打开了进入这个“柔软腹地”的大门。
内网信息刺探:这是最常见的利用方式。攻击者可以扫描内部网络,探测哪些主机存活、哪些端口开放,从而绘制出企业内网的拓扑结构和服务分布。
攻击未授权的内部应用:许多内部服务(如Redis、MongoDB、Elasticsearch、Docker API等)为了方便运维,常常没有配置访问密码。攻击者可以通过SSRF直接访问这儿一起玩、些服务的API,进行数据窃取、篡改,甚至通过特定漏洞(如Redis写入Webshell进行反弹shell)获取服务器的完全控制权。
攻击内部脆弱的Web应用:直接访问内部的管理后台、测试环境等,这些系统往往存在弱密码或其他已知漏洞。
2. 对服务器自身的攻击
攻击者可以利用SSRF攻击Web服务器本身,因为服务器对自己来说永远是“可信”的。
- 任意文件读取:通过构造
file:///协议,在服务器权限允许的范围内读取任意本地文件,如/etc/passwd、数据库配置文件等。 - 攻击本地服务:攻击监听在
127.0.0.1上的本地服务,本地服务的安全策略一般来说比较松弛。
3. 对外网的攻击
攻击者可以利用存在SSRF漏洞的服务器作为跳板,攻击互联网上的其他目标。
- 隐藏攻击源:将存在SSRF漏洞的服务器作为攻击代理,不仅隐藏了攻击者的真实IP,还可能绕过受害者设置的防火墙规则(因为请求源是一台看起来可信的Web服务器)。
- 发起分布式拒绝服务(DDoS)攻击:如果该SSRF漏洞可以被大量、快速地利用,攻击者就能操控大量受害服务器,对某个外部目标发起网络攻击。
三:SSRF漏洞常见的场景
1.博客或视频的收藏与转发
2.在线翻译或文档转换
服务器需要根据你提供的URL去获取网页的原文或文档内容,然后再进行翻译或格式转换。这个“获取”的动作就可能触发SSRF。
等
四:SSRF漏洞的利用方式
这里以pikachu靶场为例。
使用小皮面板打开web服务。
验证kali能否访问web服务。
测试kali访问成功。
典型的ssrf漏洞,利用其访问访问dnslog网站测试。
成功访问。
访问百度
成功访问。
使用file协议可以直接访问本地文件
dict协议可以测试服务器中有没有开启3306端口。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
