SSRF 공격

핵심 개념

SSRF(Server-Side Request Forgery)는 서버를 통해 내부 네트워크에 접근하는 공격입니다. URL을 외부 입력으로 받을 때 반드시 검증합니다.

코드 분석

SECURITY📋 코드 (1줄)

SSRF 공격공격 시나리오:// 취약한 APIGET /fetch?url=http://evil.com// 공격 페이로드url=http://169.254.169.254/latest/&nbsp;&nbsp;&nbsp;&nbsp;meta-data/iam/credentials→ AWS 자격증명 탈취url=http://localhost:8080/admin→ 내부 관리자 페이지 접근방어:1. URL 화이트리스트 검증const allowed = ['api.github.com']if (!allowed.includes(host)) throw2. 내부 IP 차단→ 127.x.x.x, 10.x, 192.168.x 차단

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 'SSRF 공격' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'SSRF 공격' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 'SSRF 공격' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'SSRF 공격' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

SSRF 공격은 이 3가지만 확실히 잡으세요

1.URL을 사용자 입력으로 받아 서버에서 요청하면 공격자가 내부 네트워크·클라우드 메타데이터에 접근합니다

2.URL 화이트리스트, 내부 IP 차단, DNS 리바인딩 방어로 서버가 의도하지 않은 곳에 요청하는 것을 막습니다

3.다음 챕터에서 파일 업로드를 통한 공격을 배웁니다

💬 이 챕터 질문 보기

SECURITY · CH.14 — 질문하거나 답변을 확인하세요

→

진행도 14 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)