SSRF 風險
Contents
小記
Server Side Request Forgery Prevention
Server Side Request Forgery Prevention - OWASP Cheat Sheet Series
上面這篇推薦看,這邊小記
Case 1 - Application can send request only to identified and trusted applications
這邊我們看常常呼叫API,可能會在參數帶網址,程式去做呼叫API問題。但沒有限制API URL 檢核,可能會讓使用者作惡意事情。
解決方法有兩個層面
Application Layer:
-
字串檢核,使用regex。
-
IP Address 驗證。可參考文章Server Side Request Forgery Prevention - OWASP Cheat Sheet Series
-
Domain 驗證。Server Side Request Forgery Prevention - OWASP Cheat Sheet Series
- 不要使用參數過來的完整URL。帶後面參數
Network layer:
使用防火牆做防禦。
其他文章: