ssrf(server-side request forgery:伺服器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的乙個安全漏洞。一般情況下,ssrf攻擊的目標是從外網無法訪問的內部系統。(正是因為它是由服務端發起的,所以它能夠請求到與它相連而與外網隔離的內部系統)
ssrf 形成的原因大都是由於服務端提供了從其他伺服器應用獲取資料的功能且沒有對目標位址做過濾與限制。
1.內外網的埠和服務掃瞄
2.主機本地敏感資料的讀取
3.內外網主機應用程式漏洞的利用
4.內外網web站點漏洞的利用
……基本上啥都能做了。
關鍵字列表
share
wapurl
link
srcsource
targetu3g
display
sourceurl
imageurl
domain
XSS漏洞學習筆記
xss漏洞,英文名為cross site scripting。xss最大的特點就是能注入惡意的 到使用者瀏覽器的網頁上,從而達到劫持使用者會話的目的。說白了就是想盡辦法讓你載入一段js 從而獲取cookie等敏感資訊進而搞破壞 xss大致分為三類 最重要的是閉合標籤 一般是人工挖掘或者機器挖掘。人工...
邏輯漏洞學習筆記
1 修改訂單金額,數量等 開發人員沒有對資料報中的金額做校驗,使得攻擊者抓包後篡改資料報中的金額,再提交。開發人員對購物的數量沒有進行限制,當訂單中購買的商品數為負數時,也能夠提交訂單。重播攻擊 購買成功後,重放請求,使得購買商品一直增加,而只支付了乙個商品的錢。ps 重放攻擊 重播攻擊 攻擊者向伺...
《漏洞戰爭》學習筆記 1
程式世界 由於 web,二進位制等 存在安全缺陷,導致攻擊這惡意構造的資料進入程式相關處理 時,會改變程式原定的執行流程,從而實現破壞或獲取超出原有許可權的能力。安全策略 由於系統 軟體,作業系統等 安全策略設定得不夠嚴謹或者未做設定,導致攻擊者能夠在未經授權的情況下,獲得對目標系統原本不應擁有的訪...