1.4 服務器端請求偽造

服務端請求偽造（Server-Side Request Forgery, SSRF）指的是在未取得服務器所有權限時，利用服務器上的應用程序從其他服務器上獲取數據，通過構造數據利用服務器發送偽造的請求到目標內網，以此達到訪問目標內網的數據，進行內網信息探測或者內網漏洞利用的目的。

SSRF漏洞攻擊的主要目標是從外網無法訪問的內網系統，由于服務器并未對目標地址、協議等重要參數進行過濾和限制，導致攻擊者可以偽造請求。因為是由目標服務器發起，所以內部服務器并不會判斷這個請求是否合法，而是以其身份訪問其他內部資源。SSRF入口一般出現在調用外部資源的地方。