自学内容网 自学内容网
自学内容网 > 正文

Java-sec-code-SSRF攻击

🕗 发布于 2024-11-13 06:03 java  开发语言  

Java-sec-code(SSRF攻击)

java-sec-code平台中也内置了SSRF攻击案例,我们来看看SSRF漏洞代码是什么样的。

案例1

直接从url参数接收数据,但是未进行任何检查和校验。
在这里插入图片描述
通过调用httpUtil.URLConnection方法,建立URL对象并建立HTTP连接,通过输入流读取并添加到字符串构建器类对象中,然后作为结果返回。
在这里插入图片描述
因此,你输入http://,file://,dict://等对应java版本支持的URL类型就可以实现服务器请求伪造攻击了。

安全案例1

安全修复的案例中通过调用了isHttp方法来判断是不是http协议的URI,然后再用SecurityUtil.startSSRFHook()并通过URLConnection进行访问。
在这里插入图片描述
具体来看,开启了一个Hook了一个socket进程。
在这里插入图片描述
主要还是限制http类型URI

安全案例2

第二个安全案例则是通过强制类型转换未HTTP连接,如果转换失败说明不是HTTP连接,从而实现限制请求HTTP连接的目的。
在这里插入图片描述


原文地址:https://blog.csdn.net/qq_26139045/article/details/143725826

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • MinIo在Ubantu和Java中的整合

    方法抛出的各种异常进行了捕获,然后打印了异常信息,目前这种处理逻辑,无论Minio是否发生异常,前端在上传文件时,总是会受到成功的响应信息。会处理所有Controller方法抛出的异常,因此Contr

    阅读更多2024-11-15
  • HTTP基础

    当浏览者访问一个网页时,浏览者的浏览器会向网页所在服务器发出请求。当浏览器接收并显示网页前,此网页所在的服务器会返回一个包含HTTP状态码的信息头(server header)用以响应浏览器的请求。H

    阅读更多2024-11-15
  • linux phy mdio 读取工具

    【代码】linux phy mdio 读取工具。

    阅读更多2024-11-15
  • sql文件

    sql文件通常包含SQL语句,用于数据库的创建、修改和数据操作。根据内容的不同,.sql文件的使用方式也有所不同。

    阅读更多2024-11-15
  • MongoDB创建只读用户并授权指定集合的查询权限

    创建一个自定义角色,只允许在。集合上执行查询操作。

    阅读更多2024-11-15
  • #渗透测试#SRC漏洞挖掘#云技术基础03之容器相关

    Podman是Docker的替代产品,它无守护进程。在运行容器时,若不加sudo启动可能会报错,因为默认禁止侦听1024以下端口,例如运行httpd容器可以使用命令。Kubernetes,通常简称为K

    阅读更多2024-11-15
  • Linux权限和开发工具(3)

    我们在做项目的时候可能会遇到对自己的修改不满意,想要回到上一个版本时候,就需要对自己完成一个阶段,对当前阶段进行备份,就方便我们后续进行版本回退了。后的程序可以执行但是文件也会大一些,让生成的程序带上

    阅读更多2024-11-15
  • C++ 编程基础(5)类与对象 | 5.8、面向对象五大原则

    在软件开发领域,面向对象编程(OOP)是一种重要的编程范式,它通过封装、继承和多态等特性,提高了代码的可重用性、灵活性和可维护性。C++作为一种强大的面向对象编程语言,充分体现了这些原则。在面向对象的

    阅读更多2024-11-15
  • Tailwind 安装使用

    Tailwind 安装使用

    阅读更多2024-11-15
  • JavaScript中的二叉树排序你了解吗?

    在计算机科学中,二叉树是一种常见的数据结构,用于存储和组织数据。二叉树排序(Binary Tree Sort)是一种基于二叉搜索树的排序算法。它的基本思想是将待排序的元素插入到二叉搜索树中,然后通过中

    阅读更多2024-11-15
自学内容网
Copyright © 2015-2024