ssrf漏洞学习
原理
ssrf又称服务器端请求伪造,一般用于攻击外网无法访问的内网系统,而攻击者通常访问可以访问的服务端,使用服务端提供的手段,去给访问不了的内部系统发送http请求(通常是),由于发送请求的不是客户端,而是服务端,一些网站对服务端发送的请求都没有太多的验证,所以攻击者就可以通过这个访问到用户端无法访问到的内部系统,使用一些内部服务。
简单来说,客户端访问的服务端就是一个中介,原本通过客户端无法访问的内部系统,客户端可以通过服务端这个中介向内部系统发送请求,导致客户端可以使用内部系统的一些服务。
到这里我们知道了几点,服务端要提供给我们发请求的手段,通过请求发送payload达到目的。这么说起来和任意文件读取有点像。