ماهي ثغرة SSRF ؟
ثغرة SSRF هي (تزوير الطلب من جانب الخادم: تزوير طلب جانب الخادم) هو ثغرة أمنية حيث يقوم زائر ضار بإنشاء عنوان URL ويبدأ الخادم طلبًا لعنوان URL هذا.
كيف تبدا الثغرة؟
يتم تكوين SSRF بشكل أساسي لأن الخادم يوفر وظيفة الحصول على البيانات من تطبيقات الخادم الأخرى ، ولا يقوم بتصفية العنوان الهدف أو تقييده ، مثل الحصول على المحتوى النصي لصفحة الويب من عنوان URL المحدد. تحميل الصور على العنوان المحدد ، تنزيل ، إلخ.
بشكل عام ، الهدف من وصول SSRF هو النظام الداخلي الذي لا يمكن الوصول إليه من الشبكة الخارجية. (نظرًا لأنه يتم تشغيله بواسطة الخادم ، يمكنه طلب نظام داخلي متصل به ولكنه معزول عن الشبكة الخارجية)
خطر الثغرة؟
1. في الشبكة الداخلية حيث يوجد خادم الشبكة الخارجي ، قم بإجراء فحص للمنفذ المحلي للحصول على معلومات الشعارات لبعض الخدمات.
2. مهاجمة التطبيقات التي تعمل على الإنترانت أو المحلية
3. التعرف على بصمات الأصابع لتطبيقات الويب على الإنترانت
4. تحديد معلومات الأصول الداخلية للمؤسسة ومهاجمة تطبيقات الويب للشبكات الداخلية والخارجية ، وبشكل أساسي الهجمات التي يمكن تحقيقها باستخدام طلبات HTTP GET (مثل strust2 و SQli وما إلى ذلك)
5. استخدم بروتوكول الملفات لقراءة الملفات المحلية ، وما إلى ذلك.
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !