【摘要】上个月帮朋友做了一次红蓝对抗,对方一个看似人畜无害的「图片裁剪」功能,差点让我们把整个阿里云账号的 AccessKey 都掏出来了。 这就是 SSRF(Server-Side Request Forgery,服务端请求伪造) 的威力——你以为是前端传了个URL,服务端老实巴交地去请求,结果那台服务器 阅读全文