回答情况:
提问时间:
问题标签:
1回答
我知道,file://协议可以利用SSRF来读取本地文件(类似于路径遍历),也可以从与web服务器相同的网络中扫描主机端口。但是如何利用盲SSRF呢?
浏览 0提问于2018-04-01得票数 6
回答已采纳
我想从github:安装这个工具产出:# github.com/ethicalhackingplayground/ssrf-tool\go\pkg\mod\github.com\e
浏览 4修改于2022-10-22得票数 2
回答已采纳
我正在测试SSRF漏洞,所以我的问题是:是否可以从SSRF漏洞检查外部IP (来自网络上的另一台计算机)?
浏览 0提问于2017-04-29得票数 1
回答已采纳
1回答
我目前正在研究SSRF。我注意到,可能存在SSRF的注入向量总是与URL相关的参数(使用url导入图像,其他)。我遇到了几个端点,其中请求体包含url,它用于从used服务器导入图像。或者这仅仅是SSRF可能存在的一个指标?
浏览 0修改于2021-01-27得票数 0
回答已采纳
如果MIME类型出错,响应将包含以下内容:{"status":"wrong_mime","mime":"text\/html;}应用程序在Amazon上运行,我从对AWS的SSRF攻击上看到,如果一个易受攻击的网站返回信息我的问题是,如果我的应用程序返回我的网站试图访问的文件的MIME类型,有人会利用它吗?如果是,那怎么做?
浏览 0修改于2022-03-15得票数 1
回答已采纳
如果我能够使用SSRF作为本地主机查看网站上的任何页面,我应该检查哪些文件?我检查了一下是否可以正常地查看robots.txt,但我不能,但是使用SSRF,我能够看到。
浏览 0提问于2014-06-02得票数 0
当我们完成Veracode扫描时,我们将得到getForEntity方法中的Server-Side Request Forgery (SSRF) (CWE ID 918)。restTemplate.getForEntity(URL, Entity.class);解决这个问题的可能方法是什么?
浏览 6提问于2021-01-12得票数 1
回答已采纳
我正在为我的一个项目运行CheckMarx扫描,它为方法的一个输入字符串参数提供了一个SSRF漏洞。我的方法如下所示,并为参数param1抛出SSRF漏洞。来自CheckMarx的SSRF是:在87号线我有
private String processRequest(final GetMethod method) t
浏览 8修改于2017-06-21得票数 3
1回答
众所周知,存在着许多漏洞,如SQL注入漏洞、文件上传漏洞、文件包含漏洞、XSS漏洞、SSRF漏洞、XXE漏洞、数据库泄漏漏洞等。谁能对它们进行权威性的分类?在Web应用程序漏洞之下,应该有XSS/SSRF/XXE...。
浏览 0修改于2020-09-09得票数 0
回答已采纳
但是,像chekmarx这样的工具表明,代码对于SSRF(服务器端请求伪造)攻击是可以成功的,因为攻击者可以通过发送请求中的URL或其他数据来控制请求的目标。那么,是否有任何方法可以检查request.getString()是否容易受到java中的SSRF攻击?
浏览 6修改于2016-12-15得票数 3
我刚收到一份笔试报告,这些白痴在注入标题下包含了像SSRF和XXE这样的漏洞!这是胡说八道,他们有一些,但不是全部,注射攻击的特点。对于SSRF、XXE和其他一些问题,不受信任的数据直接传递到危险的接收器。没有字符串连接,所以很明显它们完全不同。SSRF和XXE的补救建议通常围绕着配置,以确保危险的接收器安全,例如禁用外部实体或在孤立的网络段上使用代理。不同的补救方法证明了它们是一个不同的类别。
人们怎么能逃脱这一切?他们甚至有资格认证!
浏览 0修改于2022-10-17得票数 -1
如果运行SSRF有效负载并返回200 ok,是否意味着目标易受攻击?没有什么东西会像身体里的数据那样被大量泄露,只是到目前为止的内容类型。
浏览 0提问于2022-11-22得票数 0
练习的网址是:https://portswigger.net/web-security/ssrf/lab-ssrf-with-whitelist-filter
http://localhost
浏览 0修改于2020-03-03得票数 2
compute instances listssrf3f1-micro true 10.138.0.4 35.197.33.182 RUNNING
name: ssrf3- accessConfigs:
- kind
浏览 5提问于2017-06-19得票数 10
回答已采纳
我在学SSRF。我学会了输入"&x=“可以关闭URL的其余部分(比如https://some.website.com/user?id=9&x=.website.com/api/item?id=9)。
浏览 0修改于2022-08-03得票数 0
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号