如题: 任意文件下载 和 SSRF 本质上有什么区别,有点分不清界线
很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Server-side Request Forgery)。
例如使服务器获取本地任意文件
file:///C:/Windows/win.inifile:///etc/passwd
file:///C:/Windows/win.ini
file:///etc/passwd
SSRF 可用于实现任意文件下载,但其可以用于更高级别的攻击,通过判断本地已经安装的服务,从而实现针对特定服务的漏洞利用,甚至获得完整控制权。
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
例如使服务器获取本地任意文件
file:///C:/Windows/win.ini
file:///etc/passwd
例如
SSRF 可用于实现任意文件下载,但其可以用于更高级别的攻击,通过判断本地已经安装的服务,从而实现针对特定服务的漏洞利用,甚至获得完整控制权。
参考