背景 繼之前寫的用CodeQL審計Java項目的SQL注入漏洞,這篇繼續聊另一個高頻的SSRF漏洞。 SSRF(服務器端請求偽造)簡單説就是攻擊者能誘導服務器代替他去訪問內部系統或其他網站。這種漏洞在Java項目裏很常見,因為Java的網絡庫和框架太多,稍不注意就可能給攻擊者留下一條“內網通道”。 和上次一樣,我們還是用CodeQL來做“SSRF探測工具”,高效定位潛在風險。 這裏推薦一個我之
codeql
