更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2023-03-07 15:41:52
SSRF,全称Server-Side Request Forgery,又叫做服务器端请求伪造,是一种由攻击者构造请求,由服务器端发起请求的安全漏洞。但很多人对SSRF了解的并不是很多,那么到底什么是SSRF攻击?如何防御SSRF攻击?具体内容请看下文。
什么是SSRF攻击?
SSRF是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统。简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网进行攻击。
SSRF漏洞也被称为跨站点端口攻击,主要用于端口扫描。
SSRF漏洞是如何产生的?
主要产生的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
如何防御SSRF攻击?
1、过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
2、统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
3、限制请求的端口为http常用的端口,比如80、443、8080、8090等端口。
4、黑名单内网ip,避免应用被用来获取内网数据,攻击内网。
5、禁用不需要的协议,仅仅允许http和https请求。可以防止类似于file:///、gopher://、ftp://等引起的问题。
