SSRF漏洞原理及攻击方法（超详细）——从零入门到精通，收藏这一篇就够了-拾贝生活号

在当今数字化时代，网络安全已成为每个开发者、运维人员乃至普通用户都不可忽视的重要议题。在众多Web安全漏洞中，SSRF（Server-Side Request Forgery，服务器端请求伪造） 是一种极具隐蔽性和破坏力的高危漏洞。它不仅能导致敏感信息泄露，还可能成为内网渗透的“跳板”。

SSRF漏洞原理及攻击方法（超详细）——从零入门到精通，收藏这一篇就够了

本文将带你深入理解SSRF漏洞的原理、常见攻击场景、利用方式与防御策略，结合真实代码案例，帮助你从零基础快速掌握SSRF攻防核心知识。

什么是SSRF漏洞？

SSRF（Server-Side Request Forgery），即服务器端请求伪造，是一种由攻击者诱导服务端程序向任意指定目标地址发起网络请求的安全漏洞。

简单来说：
攻击者无法直接访问内网系统，但可以通过存在漏洞的Web应用，让服务器代替自己发起请求，从而访问到本应隔离的内部资源。

✅ 核心特点：

攻击由服务端发起，而非客户端

可绕过防火墙或网络隔离策略

常用于探测或攻击内网系统

SSRF漏洞的形成原理

SSRF漏洞的产生，主要源于以下两个关键因素：

功能需求：Web应用需要从外部获取资源（如图片加载、网页截图、URL分享、API调用等）。
输入未验证：对用户提供的URL参数缺乏严格的校验和过滤，导致攻击者可以控制请求的目标地址。

🔍 典型场景举例：

# Python 示例：未验证用户输入的URL
import requests

def fetch_image(url):
    response = requests.get(url)
    return response.content

user_url = input("请输入图片地址：")
image_data = fetch_image(user_url)  # 危险！用户可输入 file:///etc/passwd

在这个例子中，如果用户输入 file:///etc/passwd，服务器就会读取系统敏感文件并返回，造成信息泄露。

SSRF漏洞的常见攻击场景

以下是SSRF漏洞最典型的几种利用方式：

攻击类型	描述
📁 本地文件读取	利用 `file://` 协议读取服务器本地文件，如 `/etc/passwd`、`C:\Windows\win.ini`
🔍 内网端口探测	扫描内网开放端口，识别内部服务（如Redis、MongoDB、Docker API）
🚪 内网服务攻击	攻击未授权的内网服务，如通过Gopher协议攻击Redis写入SSH密钥
🌐 绕过防火墙限制	利用服务器作为代理，访问外网无法直接访问的内部系统
📡 云平台元数据窃取	在云环境中，通过访问 `http://169.254.169.254/latest/meta-data/` 获取云主机敏感信息

SSRF漏洞的常见触发函数（以PHP为例）

许多编程语言中的网络请求函数若使用不当，都可能导致SSRF漏洞。以下是PHP中最常见的几个危险函数：

1. `file_get_contents()`

<?php
$url = $_GET['url'];
echo file_get_contents($url); // 可被 file:// 协议利用
?>

2. `curl_exec()`

<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_GET['url']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
echo $result;
?>

3. `fsockopen()`

<?php
$fp = fsockopen($_GET['host'], 80, $errno, $errstr, 30);
?>

⚠️ 注意：这些函数本身无害，问题在于未对用户输入进行有效过滤。

SSRF中常用的URL伪协议

攻击者常利用以下协议实现不同类型的攻击：

协议	用途	示例
`http://` / `https://`	访问外部或内部Web服务	`http://192.168.1.1:8080`
`file://`	读取本地文件	`file:///etc/passwd`
`dict://`	探测端口或访问字典服务	`dict://127.0.0.1:6379/info`
`gopher://`	构造复合请求，攻击Redis等服务	`gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall`
`ftp://`	访问FTP资源	`ftp://user:pass@internal.ftp/server.log`
`sftp://`	安全文件传输	`sftp://internal-server/config.txt`

💡 技巧：某些协议（如Gopher）可构造多行命令，实现复杂攻击，常用于反弹Shell或持久化控制。

如何挖掘SSRF漏洞？

1. 功能点排查

关注以下可能存在SSRF的功能：

图片/文件下载或上传（通过URL）
网页截图或PDF生成
URL分享、文章收藏
在线翻译、转码服务
API接口调用远程资源

2. 关键字搜索

在URL或参数中寻找以下关键词：

url=, link=, src=, image=, target=, domain=, 
redirect=, view=, goto=, server=, host=

3. 抓包分析

使用Burp Suite等工具抓包，观察请求是否由服务器发起，而非浏览器直接请求。

SSRF漏洞的防御方法

✅ 1. 输入验证与白名单机制

白名单校验域名：只允许访问指定的可信域名。
协议限制：禁止 file://、gopher://、dict:// 等危险协议。

# Python 示例：白名单校验
allowed_domains = ['api.example.com', 'cdn.example.net']
if parsed_url.netloc not in allowed_domains:
    raise ValueError("Domain not allowed")

✅ 2. 使用安全的请求库

使用带有内置安全机制的HTTP客户端库。
禁用危险协议（如Python的requests库默认不支持file://）。

✅ 3. 网络隔离与防火墙策略

内网服务禁止对外暴露。
使用防火墙限制服务器的出站请求（Egress Filtering）。

✅ 4. 配置文件与权限最小化

敏感配置信息使用环境变量或密钥管理服务。
服务运行账户应具备最小权限。

✅ 5. 使用中间代理服务

将URL请求功能独立为微服务，部署在隔离网络中，降低主应用风险。

实战案例：NISACTF 2022 easyssrf

题目提示：输入URL，读取内容。

步骤：

输入 http://baidu.com，发现页面跳转并显示内容 → 存在SSRF。
提示 flag 在 /flag 文件中。
尝试 file:///flag，但被过滤。

使用 php://filter 编码绕过：

php://filter/read=convert.base64-encode/resource=/flag

得到Base64编码内容，解码后获得flag。

🎯 启示：即使file://被禁，也可通过php://等协议绕过，防御需全面。

总结与建议

项目	建议
开发者	严格校验用户输入，使用白名单，避免直接请求用户提供的URL
安全人员	定期进行安全审计，使用自动化工具扫描SSRF漏洞
运维人员	配置网络策略，限制服务器访问内网资源
学习者	推荐使用Pikachu、DVWA等靶场练习SSRF攻防

SRF漏洞虽不常被普通用户感知，但其潜在威胁极大，是渗透测试和红蓝对抗中的“利器”。掌握其原理与防御方法，不仅是安全从业者的必修课，也是每一位开发者保障应用安全的责任。