← 回到練習列表 加入 LINE 社群
Day 22

Day 22|SSRF Impact 伺服器端請求偽造的影響

昨日複習

Day 21|SSRF 伺服器端請求偽造

Attackers may force the server to send requests to internal systems.

正確答案 C. SSRF

這句在描述:SSRF(Server-Side Request Forgery,伺服器端請求偽造)

看完整 Day 21 →

今日句子

This vulnerability may allow attackers to access internal services that are not exposed to the public Internet.

中文意思

這個弱點可能允許攻擊者存取沒有暴露在公開網際網路上的內部服務。

這句在說什麼資安問題

SSRF Impact(伺服器端請求偽造的影響)

這句出現在 SSRF 弱點報告的 Impact 段落。SSRF 的核心風險在於:外部攻擊者本來無法直接碰到內部服務,但透過有弱點的伺服器當跳板,就能間接存取那些系統——包含雲端 metadata、內部 API、管理介面或資料庫。

  • 存取 AWS metadata endpoint(169.254.169.254)取得 IAM 憑證,進而控制雲端資源
  • 連到內部 Redis、Elasticsearch 或資料庫,繞過防火牆限制
  • 存取只開放給內部的管理介面(如 Kubernetes Dashboard、Jenkins)

重點單字

英文中文
vulnerability 弱點
may allow attackers to 可能允許攻擊者
access internal services 存取內部服務
not exposed to 沒有暴露於
public Internet 公開網際網路

練習題

Attackers may access cloud metadata services through the vulnerable server.

A攻擊者可能透過有弱點的伺服器存取雲端 metadata 服務
B攻擊者可能改善雲端伺服器效能
C攻擊者可能更新自己的瀏覽器版本
D攻擊者可能修改網頁上的按鈕顏色
💡 cloud metadata services(雲端 metadata 服務)+ through the vulnerable server(透過有弱點的伺服器)正是 SSRF 最典型的攻擊路徑:攻擊者讓伺服器代替自己去查詢 metadata endpoint,取得雲端存取憑證。