漏洞名称:漏洞位置:漏洞分析:漏洞修复: 漏洞名称:一个项目SSRF漏洞 漏洞位置: 漏洞分析: 看以下源码: ajaxImportUserWhitelist接收id和url参数,之后url参数赋值给$input_file变量并被传入file_get_contents函数,file_get_contents函数发起对外请求,导致SSRF漏洞产生。漏洞复现:构造接口如下: 发送上述请求,服务器对外发起请求,证明截图如下: 漏洞修复: 限制请求的端口只能为Web端口,只允许访问HTTP和HTTPS的请求。2. 白名单:限制请求地址来源。