ssrf 漏洞原理和防御方法是什么

delay ₂ 高级测评师 CISM-WSE 官方采纳

delay₂ 2年前 高级测评师 CISM-WSE

官方采纳

1.限制请求的端口只能为Web端口;2.限制不能访问的内网IP,以防止对内网进行攻击;3.屏蔽返回的详细信息4.使用DNS缓存或者Host白名单的方式。

ssrf 漏洞原理：ssrf是一种由攻击者构造请求,由服务端发起请求的安全漏洞一般情况下,SSRF攻击的目标是外网无法访问的内网系统。

漏洞防御方法

1.限制请求的端口只能为Web端口，只允许访问HTTP和HTTPS请求

2.限制不能访问的内网IP,以防止对内网进行攻击

3.屏蔽返回的详细信息

4.使用DNS缓存或者Host白名单的方式。

2年前

推荐文章

介绍OpManager MSP的IP地址和交换机端口管理插件
ManageEngine卓豪 2023-12-08 10:19:43

ManageEngine OpManager MSP 现在集成了 IP 地址管理 (IPAM) 和交换机端口映射器 (SPM) 插件。但这对 MSP 意味着什么？它如何解决 MSP 日常面临的挑战？MSP 遇到的挑战：快速回顾MSP 应对复杂的环境，努力确保高可用性并从网络停机中快速恢复。在管理 IP 地址、交换机端口以及日益关注的恶意设备渗透网络方面，传统工具往往存在不足。 OpMa
CISA警告Chrome和Excel解析库中存在被利用的漏洞CVE-2023-7024、CVE-2023-7101
Anna艳娜 2024-01-05 10:13:27

网络安全和基础设施安全局(CISA)已识别出两个重大漏洞，并将其添加到其已知的可利用漏洞(KEV)目录中。这些漏洞涉及Google Chrome中最近修补的缺陷以及影响开源Perl库“Spreadsheet::ParseExcel”的错误，该库专为读取Excel文件中的信息而设计。
彩信指纹：以色列间谍软件可无感知侦查全球智能手机信息
X0_0X 2024-02-23 14:33:24

研究人员发现，以色列NSO集团的客户合同里提到一项彩信指纹技术，可以无感知侦查全球任意智能手机的系统信息，可结合其间谍软件实施定向针对性植入；调查后研究员发现，NSO并未利用漏洞，而是滥用了彩信机制，并成功复现了这一攻击手法。通信运营商可通过配置使用户规避这一攻击。
黑客攻击21个省市社保、医疗系统，“爬取”公民信息获利500余万！
安全圈 2024-01-29 11:04:40

“在这起案件中，网络黑客共攻击了涉及全国21个省市的社保、医疗等共计29个行业的51个系统。”近日，记者在四川省成都市新都区检察院了解到，该院办理了一起利用技术手段非法窃取公民个人信息案，并于2023年5月对犯罪嫌疑人王某等10人提起公诉。近日，法院以侵犯公民个人信息罪判处王某等人有期徒刑三年至十个月不等。
CS2的潜在漏洞可能会泄露游戏玩家的IP地址警告
007bug 2023-12-12 11:20:52

最近发现的CS2漏洞（显然是XSS漏洞）引起了游戏社区的担忧，对玩家安全构成了潜在威胁。
GNU C库中发现严重缺陷，主要Linux发行版面临风险CVE-2023-6246、CVE-2023-6779、CVE-2023-6780、
安全侠 2024-02-01 17:00:10

由于GNU C库(glibc)（大多数Linux发行版的基本组件）中发现的四个严重漏洞，数以百万计的Linux系统面临风险。
警示！QNAP QTS 操作系统和应用程序中存在高危漏洞
FreeBuf 2023-11-09 09:36:00

Bleeping Computer 网站消息，QNAP Systems 发布两个关键命令注入漏洞的安全警告。据悉，这两个漏洞会影响 QTS 操作系统的多个版本及其网络连接存储（NAS）设备上的应用程序。
美国最大牙科保险公司Delta Dental:近700万客户个人信息遭泄露
007bug 2023-12-18 11:54:12

美国最大的牙科保险公司Delta Dental发布通告称，由于近期受MOVEit Transfer 软件漏洞影响，近700万客户的个人信息已遭到泄露。
思科修复高严重性脚本执行和VPN劫持漏洞
X0_0X 2024-03-11 11:37:04

思科于2024年3月6日修复了思科安全客户端VPN应用程序中的关键安全漏洞。立即更新以保护您的VPN连接免遭凭证盗窃、未经授权的访问和潜在的代码执行。该通报还详细介绍了思科小型企业无线接入点中未修补的缺陷。
苹果快捷方式漏洞暴露敏感数据，立即更新您的设备！CVE-2024-23204
Anna艳娜 2024-02-23 11:38:08

Apple Shortcuts安全漏洞(CVE-2024-23204)允许攻击者访问目标设备并窃取敏感数据，官方敦促立即更新您的设备！
白帽黑客2023年报告了835个漏洞，收入总计高达45万美元
Anna艳娜 2024-02-18 10:57:44

美国国防部在2023年报告的安全漏洞最多，有96份报告，占所有报告的10%。2023年，VPN服务提供商Surfshark获取的HackerOne漏洞赏金数据揭示了白帽黑客在保护美国国防部等顶级政府组织和LinkedIn等私营公司方面的关键作用。
Bricks WordPress 网站生成器中存在 RCE 漏洞，黑客正在积极利用
Andrew 2024-02-21 10:35:36

国外媒体近期披露，威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞，在易受攻击的网站上执行恶意 PHP 代码。
最新发现的两大WIFI安全漏洞，可能影响全球数十亿安卓用户
安全侠 2024-02-27 14:31:31

近日，有研究人员发现两大WiFi安全漏洞，很可能会影响到全球数十亿安卓用户。
MonikerLink漏洞使Outlook用户面临数据盗窃和恶意软件的威胁
Anna艳娜 2024-02-19 11:17:29

Microsoft Outlook中的#MonikerLink安全漏洞允许黑客在目标设备上执行任意代码。#MonikerLink漏洞(CVE-2024-21413)的CVSS评分为9.8分（满分10分），表明严重性非常高且可利用性很高，可能会在用户交互最少的情况下导致系统受损。
技术解析：漏洞管理为何需要正确的指标？
Andrew 2024-02-21 13:37:50

你的漏洞管理计划进展如何？有效果？还是已经成功了？坦白讲，如果没有正确的指标及对应的分析方法，你如何知道漏洞管理的效果、进展，甚至其投资回报率呢？