Web安全漏洞及代码审计（第2版）（微课版）课件 【ch07】靶机服务端请求伪造漏洞与审计.pptx

靶机服务端请求伪造漏洞与审计项目7Web安全漏洞及代码审计（第2版）（微课版）

01项目知识准备

项目知识准备01服务端请求伪造漏洞主要是指当攻击者向服务端发送请求时，服务端没有对请求的目标地址进行校验，导致攻击者可以访问与此服务端权限相同的其他内部系统的漏洞。漏洞介绍一例如在同一网络下有部署在外网的A系统和只针对内网使用的B系统，当该网络具有通过URL加载图片的功能时，可以将请求的目标地址替换成外网无法正常访问的B系统，然而由于服务端在处理请求时，无法判断用户输入的URL是否存在隐患，并且会直接对输入的URL发送请求，这就造成了SSRF漏洞。

项目知识准备01SSRF漏洞主要是由于服务端在处