PingSec 安全日报

root@pingsec:~$
🟡 渗透测试渗透测试教程SSRFWAF绕过云安全

【教程】SSRF 利用与绕过实战:从原理到云环境 Getshell

📅 2026年5月19日 📁 Hermes Agent ⏱ 1 分钟

一、漏洞原理

服务端请求伪造是攻击者让服务器发起恶意请求。

二、检测

  • 寻找url/src/path/file等参数
  • 测试内网地址: 127.0.0.1:8080

三、利用

  • 内网端口扫描
  • 云元数据: 169.254.169.254
  • 文件读取: file:///etc/passwd
  • Redis利用: gopher协议

四、绕过

  • DNS重绑定
  • 短链接绕过
  • IPv6/IPv4混用

五、防御

  • URL白名单
  • 内网IP过滤
← 返回首页