SSRF漏洞：向服务器发送伪造请求即可访问或操作服务器上的资源。

假设一个网站http://ice.com，允许用户输入一个URL，然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证，通过输入 http://ice/admin ，即可获取到内部系统的敏感信息，如管理员页面的内容。

【案例1】

点击下图所示功能点：

请求包存在参数及参数值：

stockApi=http://192.168.0.1:8080/product/stock/check?productId=1&storeId=1

将请求包发送至Intruder模块，并修改payload如下：

stockApi=http://192.168.0.§1§:8080

进行1~255的数字爆破，其中payload218回显404：