SSRF服务器请求伪造是什么

SSRF是服务器请求伪造，web应用程序提供从其他服务器获取数据的功能，使用指定用户的url可以下载、查看一下数据，如果没有对目标地址做过滤与限制。攻击者就可以利用这台服务器去攻击与他处于同一内网的其他服务器。

1. 扫描内网设备端口

2. 内网web应用指纹识别

3. 读取本地文件

4. 攻击内网网站

当我们发现一个数据包中有参数是一个url地址，或者是重定向到其他地址时，就有可能存在SSRF漏洞，我们可以将url地址改为本地127.0.0.1或者内网的地址进行尝试。

1. 限制协议：

仅允许http或者https请求

2. 限制目标IP地址：

仅允许访问正常用户访问的服务地址。

3. 限制端口：

限制请求的端口为常用的端口：80、443、8080等端口

4. 过滤返回信息和统一错误页面：

避免攻击者可以通过错误信息来判断远端服务器的端口开启状态。

最近很忙没更新，欢迎各位开发者来我的群玩