SSR漏洞的成因、防御、绕过

江小悠 22 0

成因:模拟服务器对其他服务器资源进行请求,没有做合法性验证。
利用:构造恶意内网IP做探测,或者使用其余所支持的协议对其余服务进行攻击。防御:禁止跳转,限制协议,内外网限制,URL限制。
绕过:使用不同协议,针对IP,IP格式的绕过,针对URL,恶意URL增添其他字符,@之类的,301跳转+dns rebindding

发表评论 取消回复
表情 图片 链接 代码

分享