SSRF 漏洞的原理以及 Java 中的处理

最新推荐文章于 2025-04-28 15:33:06 发布
最新推荐文章于 2025-04-28 15:33:06 发布
阅读量3.7k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 软件开发 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidullua/article/details/112758528

SSRF 漏洞的原理以及 Java 中的处理

SSRF漏洞的原理

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是由攻击者构造非授权的 URL, 由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。

比如黑客攻击公司内部的论坛, Wiki, 工作流, 项目管理等系统. 大量的内部系统都提供内部匿名的访问方式, 不需要登陆即可以从内网访问到.

当一个服务端的服务, 没有对要请求的 URL做校验, 且用户可以构造这个URL时, 那么攻击者可以利用提供的服务, 直接访问内部系统. 不需要入侵到内网, 即可发起内部调用. 可以获取到内部数据, 或者发起内部的恶意调用. 特别地, 开发人员喜欢在内部系统留一些后门, 可以对数据做变更的操作, 那么这种情况下, 外部的攻击者就可以直接触发这些调用.

有漏洞的 Java 代码示例

    public String getContentWithVul(String url) {
        return HttpUtils.URLConnection(url);
    }

你可能会问, 这么简单的一行代码, 为什么会有漏洞呢?

这段服务端的 Java 代码请求了一个 url , 返回url 的内容. 代码没有对 URL进行校验. 如果这是一段爬虫代码, 用来爬取外部的 URL. 那么当采集到的 url 是内部URL 的时候, 爬虫服务器会触发内部的 url 调用. 引起内部信息泄漏, 内部系统被恶意调用, 篡改数据等严重问题.

Java 中如何避免 SSRF

只需要在服务端对要发起请求的 URL 做判断即可. 检测 URL 是内部的域名, 或者 IP 地址, 就进行拦截.

有时候我们需要调用的内部其它服务, 这种情况下把内部的 域名, IP 添加白名单即可.

防 SSRF 攻击的代码调用示例:

    public String httpURLConnection(@RequestParam String url) {
        try {
            ### 请求 URL 前, 启动 hook, hook 会对请求的 url 做检查
            SecurityUtil.startSSRFHook();
            return HttpUtils.HTTPURLConnection(url);
        } catch (SSRFException | IOException e) {
            return e.getMessage();
        } finally {
            SecurityUtil.stopSSRFHook();
        }
    }

开源项目

可以使用 java-sec-code 中的类库来做 SSRF 的处理.

https://github.com/JoyChou93/java-sec-code

https://github.com/JoyChou93/java-sec-code/blob/master/src/main/java/org/joychou/controller/SSRF.java

ssrf漏洞修复(ssrf漏洞修复方式)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 4360
区块链去中介化、共识机制、不可篡改的特点,增加数据流转效率,减少成本,实时监控资产的真实情况,保证交易链条各方机构对底层资产的信任问题。在区块链行业,地址追溯是一个相对敏感的话题。当然,地址追溯的方法并不限于以上提到的几点,而能够突破交易所的黑客也必然会使用各种反追溯的手段来应对,包括利用去中心化交易所套现,利用混币/搅拌机等技术手段阻碍追溯等。具体方法是通过区块链浏览器输入可疑地址,查询该地址的交易,从交易结果列表中寻找出大额的资金流向,按照新的流向打开每层地址,逐层深入查询,即可得出大额资金的流向图。
Java代码审计】SSRF
大河之犬的博客
04-02 1669
SSRF(服务端请求伪造)是目前在大型站点中出现频率较高的漏洞。一般情况下,攻击者无法访问攻击目标的内网,SSRF 是攻击者访问内网的凭借之一,因为 SSRF 攻击是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。SSRF漏洞原理很简单,基本上都是服务端提供了从其他服务器应用获取数据的功能且没有对目标地址和传入命令进行过滤与限制造成的,如常见的从指定 URL地址加载图片、文本资源或者获取指定页面的网页内容等。
JAVA代码审计之SSRF
Jiajiazml的博客
09-23 2527
本文从漏洞原理、审计函数、漏洞危害、漏洞代码示例、实战案例、漏洞防御方式等几个方面介绍了SSRF漏洞攻击
SSRF漏洞修复方案
晓川吖的专栏
09-09 7423
SSRF在服务端代码中属于常见的漏洞,关于SSRF漏洞的介绍及攻击方式在网络上都有详细的资料,这两篇就写的非常详细了: SSRF安全指北 - 博客 - 腾讯安全应急响应中心 SSRF Tips | xl7dev 目前互联网企业中的项目,主要以Java项目为主,我们知道在Java语言下,SSRF漏洞的利用场景一般比较有限,很少能通过该漏洞进行文件读取等操作,一般来说能进行漏洞利用的场景如下: 通过访问内网地址对内网服务进行探测、盲打 CRLF注入 利用该接口作为DDOS攻击的一个发起点(可限制访问
Java 安全编程:防止常见的安全漏洞如 CSRF、SSRF
最新发布
数字魔方操控师的博客
04-28 563
CSRF 和 SSRFJava Web 应用中常见且危害较大的安全漏洞,严重威胁用户数据安全和企业系统稳定。通过深入了解这两种漏洞原理、危害,并采用有效的防范方法,如 Token 验证机制、输入验证与过滤、白名单机制等,结合安全编码规范、定期安全测试和安全意识培训等综合防护措施,可以大大降低 Java 应用遭受 CSRF 和 SSRF 攻击的风险,提升系统的安全性和可靠性。在不断发展的网络安全环境中,开发人员应持续关注安全技术的更新,及时应对新出现的安全威胁,为用户和企业提供安全、稳定的软件服务。
SSRF漏洞JAVA解决方案
柳落青
09-16 4601
SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
JAVA代码审计之SSRF漏洞
liguangyao213的博客
02-18 2407
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部服务器系统
SSRF攻击
秋水的博客
09-04 3038
SSRF攻击原理 什么是SSRF? 服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务) 简单理解就是: 攻击者能够利用目标帮助攻击者访问其他想要攻击的目标 A让B帮忙访问C 为什么会产生SSRF漏洞? 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指...
漏洞修复-服务端请求伪造(SSRF)
路辉的博客
03-31 2108
点击上方名片关注我,为你带来更多踩坑案例- 什么是SSRF-SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,因为服务器请求天然可以穿越防火墙。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做正...
浅谈 SSRF 漏洞
m0_57836225的博客
10-18 617
SSRF 是一种由攻击者构造形成由服务器发起请求的安全漏洞,其主要攻击目标为外网无法访问的内部系统。
ssrf漏洞之——漏洞复现
V_vevive的博客
08-25 799
6.发送三条redis命令,即可将弹shell的脚本写入/etc/crontab,之后将shell发送到指定的ip的一个端口,ip可自己更改,之后在192.168.16.131上使用nc监听4444端口,输入nc -lvvp 4444 开启监听。将url编码后的命令放到redis服务器的ip后(http://172.22.0.2:6379/命令),替换url发送,过一会nc处就会自动弹出一个控制172.22.0.2:6379的shell。将页面请求的url改为指定本地文件路径的url
WebLogic SSRF漏洞修复
11-25
SSRF漏洞通常出现在Web应用中,当应用未能正确地验证服务器响应时,攻击者可以利用这些漏洞绕过网络访问控制机制,例如防火墙。具体来说,SSRF攻击的核心在于利用应用程序本身作为跳板,向内部或外部的目标服务器...
Java 代码审计入门-04】SSRF 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 1238
为什么会有这一些列的文章呢?因为我发现网上没有成系列的文章或者教程,基本上是 Java 代码审计中某个点来阐述的,对于新人来说可能不是那么友好,加上本人也在学习 Java 审计,想做个学习历程的记录和总结,因此有了本系列的文章。本系列的文章面向人群主要是拥有 Java 基本语法基础的朋友。
Server-Side Request Forgery (SSRF) (CWE ID 918)
cheerful_smalltail的博客
11-11 1284
Server-Side Request Forgery (SSRF) (CWE ID 918)
SSRF服务端请求伪造漏洞
李火火的安全圈
10-24 1215
SSRF(全称Server-Side Request Forgery),即服务器端请求伪造。SSRF是一种由攻击者构造请求,服务端发起请求的漏洞SSRF攻击的目标是外网无法访问的内部系统(服务端可以请求到与自身相连而与外网隔离的内部系统)。SSRF形成的原因是服务端提供了从其他服务器获取数据的功能,但没有对目标地址做过滤与限制,导致攻击者在服务端从指定URL地址获取内部系统的数据(文件、图片等)。
web渗透--19--服务端请求伪造攻击(SSRF
武天旭的博客
09-12 2559
1、漏洞描述 服务端请求伪造攻击(Server-side Request Forgery): 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Serv...
java代码审计:SSRF
qq_34778376的博客
03-11 707
漏洞描述 当Web服务器对用户提供的未经验证的目标参数发起请求时,将发生服务器端请求伪造(ssrf)。 攻击者可以构造特殊的攻击链接传给服务端执行从而利用漏洞,一般用来在外网探测或攻击内网服务。此漏洞可能允许攻击者访问内部服务或从您的Web服务器发起攻击。 缺陷代码 def doGet(value:String) = Action { WS.url(value).get().map { response => Ok(response.body) } } 修复建议:
java-sec-code ssrf
weixin_44687621的博客
08-21 967
SSRF漏洞 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。 利用伪协议读取文件 由于Java没有php的cURL,所以Java SSRF支持的协议,不能像php使用curl -V查看。 Java网络请求支持的协议可通过下面几种方法检测: 代码中遍历协议 官方文档中查看 import sun.net.www.protocol查看 SSRF是由发起网络请求的方法造成。所以先整理Java
Java代码审计】SSRF
网络安全从业者的学习笔记
02-27 1702
SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值