ssrf的原理与危害   SSRF（Server-Side Request Forgery）服务端请求伪造 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统。   正常情况下，我们无法从外网去访问一个公司的内部系统，但是如果服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。攻击者就可以利用该漏洞绕过防火墙等访问限制，进而将受感染或存在漏洞的服务器作为代理进行端口扫描，甚至是访问内部系统数据。 ssrf的攻击利用主要有以下几种： 1、内网、本地端口扫描，获取开放端口信息 2、主机信息收集，web应用指纹识别，获取服务banner信息 3、根据识别出的应用针对性的发送payload攻击，例如struts2 4、攻击内网和本地的应用程序及服务。 5、穿越防火墙 6、利用file协议读取本地文件，比如file:///etc/passwd