Web安全漏洞及代码审计（第2版）（微课版）备课教案 第七章 靶机服务端请求伪造漏洞与审计.docx

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案

课题：靶机服务端请求伪造漏洞与审计

教学目的：

知识目标：掌握服务端请求伪造漏洞的成因、攻击原理和利用方式，理解攻击者如何利用服务器发起任意HTTP请求；熟悉基本SSRF、协议利用（file://、dict://、gopher://）、重定向利用、云服务元数据攻击等不同攻击场景；学习如何构造恶意URL、利用不同协议、绕过URL过滤等SSRF攻击载荷；学习URL白名单验证、协议限制、网络访问控制、错误信息处理等SSRF防护技术。

能力目标：能够独立搭建靶机环境，复现各类SSRF漏洞；掌握手工构造SSRF攻击载荷的方法，能够手动完成