我目前在Secure Code Warrior的Java basic package上做题,题目是server-side request forgery。 任务是尝试通过参数 url 访问“/vault”api。其中一个文件要求 ip 地址以 127.0 或 ::1 开头,我很确定这意味着我们只需要 ...
我目前在Secure Code Warrior的Java basic package上做题,题目是server-side request forgery。 任务是尝试通过参数 url 访问“/vault”api。其中一个文件要求 ip 地址以 127.0 或 ::1 开头,我很确定这意味着我们只需要 ...
我有以下代码。 名称是从 application.yaml 文件中注入的。 我在运行静态代码分析时遇到了 SSRF 问题。 如何解决这个问题? 还是误报? ...
我正在使用restTemplate在微服务架构中进行同步服务间通信。 当我们完成Veracode扫描时,我们在getForEntity方法中获取Server-Side Request Forgery (SSRF) (CWE ID 918) 。 不知道为什么我会收到这个SSRF问题? 对此有什么可能 ...
问:如果我有一个不受信任的、用户提供的 URL 到文件,当我下载该文件时如何保护自己免受服务器端请求伪造? .NET 框架(4.8)基础 class 库中是否有工具可以帮助我,或者是否有一些针对此用例的规范参考实现? 详细信息:我们的 web 应用程序(在线产品数据库)允许用户上传产品图像。 我们 ...
I am using API Gateway Pattern in a Micro services architecture in which the Front End Angular app makes an HTTP request to my API Gateway project w ...
长话短说,无论我尝试什么,VeraCode 都会继续将我的 8 行代码标记为 CWE 918 的缺陷。这是旧代码,所以我不确定为什么它会突然被标记。 这是一个示例 [offending] 方法,带有粗体标记的行 这是我提议的修复程序,它利用扩展方法来验证 URL 这是带有 VeraCode ...
我想制作一个书签应用程序。 它将自动从用户URL输入中获取数据。 我知道,如果我仅发送任何用户输入的URL,就会导致SSRF。 我想我可以使用一个外部HTTP代理来防止GET请求到本地主机。 我应该在哪里放置代理? 像Dante这样的HTTP代理可以连接到本地主机吗? ...
我正在为我的一个项目运行 CheckMarx 扫描,它带有一个方法的输入字符串参数之一的 SSRF 漏洞。 我的方法如下所示,参数param1抛出了 SSRF 漏洞。 在方法内部,我使用 HttpClient GetMethod 调用第 3 方 URL,param1 作为查询字符串参数传递。 ...
在我当前的 Spring MVC 应用程序中,我们有如下代码用于网关模块。 网关模块将使用工作正常的AsyncRestTemplate调用同一服务器上的另一个应用程序。 但是像chekmarx这样的工具表明,代码request.getString()可以用于SSRF (服务器端请求伪造)攻击, ...
使用 Acunetix 扫描我们的代码以查找漏洞后,我们遇到了以下脚本的问题,其中说: “针对hit0yPI7kOCzl.bxss.me 域发起了一个 HTTP 请求,这表明该脚本容易受到 SSRF(服务器端请求伪造)的攻击。” 我怎样才能防止这种情况? ...
我希望用户能够通过提供URL从网络上载图像。 由于可能的CORS问题和防止热链接,我不认为我可以让客户端来获取图像并上传它,所以我要让服务器来做。 最大的问题是用户只需输入file:///home/user/secret_image.jpg 。 该URL被发送到服务器,django高兴 ...