1.4 服务器端请求伪造

服务端请求伪造（Server-Side Request Forgery, SSRF）指的是在未取得服务器所有权限时，利用服务器上的应用程序从其他服务器上获取数据，通过构造数据利用服务器发送伪造的请求到目标内网，以此达到访问目标内网的数据，进行内网信息探测或者内网漏洞利用的目的。

SSRF漏洞攻击的主要目标是从外网无法访问的内网系统，由于服务器并未对目标地址、协议等重要参数进行过滤和限制，导致攻击者可以伪造请求。因为是由目标服务器发起，所以内部服务器并不会判断这个请求是否合法，而是以其身份访问其他内部资源。SSRF入口一般出现在调用外部资源的地方。