Web安全之服务器端要求伪造(SSRF)类漏洞详解及预防
发布时间:2023-02-23 12:44:03 所属栏目:安全 来源:
导读:如何了解伺服端请求篡改( SSRF)的类型漏洞
当服务器向用户提交的未被严格校验的URL发起请求的时候,就有可能会发生服务器端请求伪造(SSRF,即Server-Side Request Forgery)攻击。
SSRF是由攻击者构造恶意请求U
当服务器向用户提交的未被严格校验的URL发起请求的时候,就有可能会发生服务器端请求伪造(SSRF,即Server-Side Request Forgery)攻击。
SSRF是由攻击者构造恶意请求U
|
如何了解伺服端请求篡改( SSRF)的类型漏洞 当服务器向用户提交的未被严格校验的URL发起请求的时候,就有可能会发生服务器端请求伪造(SSRF,即Server-Side Request Forgery)攻击。 SSRF是由攻击者构造恶意请求URL,由服务端发起请求的安全漏洞。攻击者可以利用SSRF漏洞来攻击到内部系统,因为服务器请求天然发生在系统内部。SSRF 形成的原因大都是由于服务端提供了从其他服务端应用获取数据的功能,但又一方面没有对电子邮件目标信息的地址一致性做完整性的校验与数量的限制。 假设一个电商网站,展示商品详情的时候也同时展示库存数量,库存数量需要提供商品详情信息的后端服务通过REST API查询其他后端服务得到,而其他后端服务的URL地址直接包含在查询商品详情的接口中,作为此接口的一个参数。所以展示商品详情界面会发出如下请求: 复制 POST /product/detail HTTP/1.0 Content-Type: application/json 这种情况下,攻击者可以通过修改请求参数stockApi以指定任意URL,例如: 复制 POST /product/detail HTTP/1.0 Content-Type: application/json 如何预防SSRF攻击 严格校验用户输入的URL,可以使用白名单过滤来限制输入,只允许特定的协议、主机和端口。 不要把原始的响应数据返回给客户端。 限制Web应用程序的网络访问权限,可以让远程资源访问功能使用单独的网络。 限制Web应用程序对服务器端资源的访问权限,可以使用访问控制列表(ACL)来限制应用程序可以访问的URL和端口。 加强代码审核,通过人工审核和自动化审核工具审核的方式来发现潜在的SSRF漏洞。为了保证系统安全,我们建议用户尽可能使用https协议,这样可以避免网络钓鱼攻击。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |