每次登陆阿里云都给我提示这个IP 验证不当的漏洞
看着好烦啊,但一直懒得解决...
问题来源
阿里云控制台报错
阿里云控制台报错
每次登陆后台都给我报这个漏洞,感觉没有他吹的那么严重╮(╯▽╰)╭,最少Wordpress发布时候不会留很大Bug出来呀,肯定就是想让我买它的修复漏洞服务罢了。
阿里云控制台报错
阿里云控制台报错
算了,今天有时间,百度一下ssrf漏洞是什么,到底是不是在骗我。
SSRF漏洞
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
产生原因
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
利用手段
- 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的)
- 攻击运行在内网或本地的有漏洞程序(比如溢出)
- 可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹
- 攻击内网或外网有漏洞的Web应用
- 使用file:///协议读取本地文件
Comments | NOTHING