当前位置: 首页 > news >正文

Java-sec-code-SSRF攻击

news 2024/11/15 0:20:09

Java-sec-code(SSRF攻击)

java-sec-code平台中也内置了SSRF攻击案例,我们来看看SSRF漏洞代码是什么样的。

案例1

直接从url参数接收数据,但是未进行任何检查和校验。
在这里插入图片描述
通过调用httpUtil.URLConnection方法,建立URL对象并建立HTTP连接,通过输入流读取并添加到字符串构建器类对象中,然后作为结果返回。
在这里插入图片描述
因此,你输入http://,file://,dict://等对应java版本支持的URL类型就可以实现服务器请求伪造攻击了。

安全案例1

安全修复的案例中通过调用了isHttp方法来判断是不是http协议的URI,然后再用SecurityUtil.startSSRFHook()并通过URLConnection进行访问。
在这里插入图片描述
具体来看,开启了一个Hook了一个socket进程。
在这里插入图片描述
主要还是限制http类型URI

安全案例2

第二个安全案例则是通过强制类型转换未HTTP连接,如果转换失败说明不是HTTP连接,从而实现限制请求HTTP连接的目的。
在这里插入图片描述


http://www.mrgr.cn/news/71953.html

相关文章:

  • 用MVVM设计模式提升WPF开发体验:分层架构与绑定实例解析
  • 新Activity启动时Task的位置(分屏场景)
  • 【MQTT】代理服务比较RabbitMQ、Mosquitto 和 EMQX
  • LeetCode【0017】电话号码的字母组合
  • 微服务学习重点:底层的实现逻辑
  • 使用VSCode远程连接服务器并解决Neo4j无法登陆问题
  • Day 63 || 拓扑排序、dijkstra
  • 最新版【H5商城直接部署】
  • npm list -g --depth=0(用来列出全局安装的所有 npm 软件包而不显示它们的依赖项)
  • Javascript高级—DOM树的深度遍历和广度遍历
  • PyQt入门指南五十四 依赖管理与打包发布
  • Android Framework AMS(14)ContentProvider分析-1(CP组件应用及开机启动注册流程解读)
  • 深入FastAPI:路径参数、查询参数及其检校
  • 计算机毕业设计Hadoop+Spark高考推荐系统 高考分数线预测 知识图谱 高考数据分析可视化 高考大数据 大数据毕业设计 Hadoop 深度学习
  • 元宇宙及其技术
  • Flink CDC(SQL Client)连接 MySQL 数据库教程
  • 数据结构中的抽象数据类型、逻辑结构、存储结构等到底是什么?
  • Linux学习笔记之shell快速入门及相关变量
  • PYNQ 框架 - 中断(INTR)驱动
  • 阿里巴巴通义灵码推出Lingma SWE-GPT:开源模型的性能新标杆
  • 音视频入门基础:MPEG2-TS专题(4)——使用工具分析MPEG2-TS传输流
  • JavaScript案例-轮播图
  • LeetCode【0019】删除链表的倒数第N个结点
  • 论文3—《基于YOLOv5s的农田垃圾轻量化检测方法》文献阅读分析报告
  • 我是如何一步步学习深度学习模型PyThorch
  • 信息收集系列(二):ASN分析及域名收集