SSRF漏洞(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的安全漏洞。
一般情况下,SSRF攻击的目标是外网无法访问的内部系统,因为攻击是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统。SSRF漏洞形成的原因大多是服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。
例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务点的请求伪造。SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。