基于SSRF和XXE漏洞的内网攻击技术研究
作者:方欣1 刘占丰2
单位:1. 长春职业技术学院2. 吉林信息安全测评中心
SSRF(服务器端请求伪造)漏洞和XXE(XML外部实体注入)漏洞是近几年较新的WEB应用漏洞,不同于传统的SQL注入、XSS、文件上传等漏洞侧重于外网攻击,SSRF漏洞和XXE漏洞主要针对内网进行攻击。恶意攻击者利用两种漏洞对WEB端的某些功能未进行严格过滤的缺陷,突破外网无法访问内部网络的限制,对内网服务器进行端口探测、读取文件、攻击内网应用、执行系统命令等操作,严重威胁内网安全。本文详细阐述了SSRF漏洞和XXE漏洞的原理和利用方法,分析了两种漏洞对内网产生的危害,并提出了两种漏洞的防御方法。
DOI:
关键词:
Array
所属期刊栏目:
操作系统、网络体系与服务器技术
分类号:
TP393.08
页码:
3-5
下一篇:Web安全渗透测试流程研究