在运行在Apache上的JAX应用程序中，可以采取哪些措施来防止服务器端请求伪造(SSRF)？

Question

如果我有一个使用JAX实现的应用服务器，并且在Apache服务器上作为*.war文件运行，那么需要做什么或配置什么来防止SSRF攻击吗？

我的天真理解是，JAX应用程序只为某些URL提供请求，而Apache只允许对特定资源的请求。

如果这是JAX或Apache默认处理的，您能解释一下如何处理吗？

如果JAX或Apache默认不处理这一问题，您能解释一下用这些工具防止这种攻击的最佳方法吗？

具体版本：

• JAX-RS api 2.1
• Apache Tomcat 9.0.33

Answer 1

Tomcat和JAX文档都没有提到任何防止SSRF攻击的内容。所以我假设在默认情况下没有保护措施。

SSRF通常滥用其他实体对服务器的信任。这就是为什么在您的情况下，重要的是检查从服务器启动的连接所使用的向量。因此，验证您的输入。例如，如果服务器依赖用户提供的URL来获取某些信息，则验证该URL并只允许您信任的目标主机并阻止本地主机。

OWASP有一个SSRF手册，并给出了相当好的保护方法概述。