服务端请求伪造(SSRF)

服务端请求伪造(SSRF) 利用服务端发起恶意请求，攻击内部系统。核心素养

🧬 知识点关系网络

攻击者→服务端→内网资源

⬆️ 以服务器为跳板攻击内网。

云环境 —— AWS EC2元数据服务169.254.169.254可获取临时凭证。
💡 了解Capital One数据泄露的SSRF案例。
防御 —— URL白名单，禁用file/dict/gopher等危险协议。
💡 代码审查中检查`curl`/`file_get_contents`的URL来源。

💡 学习贴士： 搭建实验环境（虚拟机、靶场），动手实践是关键。

前置依赖： 学习服务端请求伪造(SSRF)前，建议具备计算机网络、操作系统和基础编程能力。

后续延伸： 学完服务端请求伪造(SSRF)后，可继续深入网络安全的其他攻防或治理领域。

🔵 已开放 · 可随时探索🟠 生长中 · 内容持续丰富🟣 探索级 · 深度拓展

🌱 为了包容与博爱的传递，为了知识平权，善智导航正在陆续深化每一个知识点页面。
下方所有知识点均已预留链接，可随时点击探索。

✨ 每个链接都是一扇门，推开即是新世界。

元数据服务攻击。

头像上传时提供内网URL。

我是一名正在学习服务端请求伪造(SSRF)的学生，请用生动易懂的方式为我讲解其核心概念，并结合一个实际的安全场景加以说明。