中国建设工程造价管理协会网站招聘,新开传奇手游,体育类网站模板,php做的网站代码如何理解服务器端请求伪造#xff08;SSRF#xff09;类漏洞当服务器向用户提交的未被严格校验的URL发起请求的时候#xff0c;就有可能会发生服务器端请求伪造#xff08;SSRF#xff0c;即Server-Side Request Forgery#xff09;攻击。SSRF是由攻击者构造恶意请求URLSSRF类漏洞当服务器向用户提交的未被严格校验的URL发起请求的时候就有可能会发生服务器端请求伪造SSRF即Server-Side Request Forgery攻击。SSRF是由攻击者构造恶意请求URL由服务端发起请求的安全漏洞。攻击者可以利用SSRF漏洞来攻击到内部系统因为服务器请求天然发生在系统内部。SSRF 形成的原因大都是由于服务端提供了从其他服务端应用获取数据的功能但又没有对目标地址做校验与限制。应用程序为了给用户提供更多更方便的功能从另一个URL获取数据的场景越来越多因此SSRF漏洞也越来越多。此外由于云服务和体系结构的复杂性SSRF攻击产生的影响也越来越大。举个例子假设一个电商网站展示商品详情的时候也同时展示库存数量库存数量需要提供商品详情信息的后端服务通过REST API查询其他后端服务得到而其他后端服务的URL地址直接包含在查询商品详情的接口中作为此接口的一个参数。所以展示商品详情界面会发出如下请求POST/product/detail HTTP/1.0
Content-Type: application/json{productId:66,stockApi:http://stock.xxx.com/stock/detail}这种情况下攻击者可以通过修改请求参数stockApi以指定任意URL例如POST/product/detail HTTP/1.0
Content-Type: application/json{productId:66,stockApi:http://localhost/admin}此时服务端就会访问http://localhost/admin并将其内容返回给用户攻击者就可以采用这用方式来尝试获取到服务器相关的信息。如何预防SSRF攻击严格校验用户输入的URL可以使用白名单过滤来限制输入只允许特定的协议、主机和端口。不要把原始的响应数据返回给客户端。限制Web应用程序的网络访问权限可以让远程资源访问功能使用单独的网络。限制Web应用程序对服务器端资源的访问权限可以使用访问控制列表ACL来限制应用程序可以访问的URL和端口。加强代码审核通过人工审核和自动化审核工具审核的方式来发现潜在的SSRF漏洞。
