回答情况:
提问时间:
问题标签:
1回答
我目前正在研究SSRF。我注意到,可能存在SSRF的注入向量总是与URL相关的参数(使用url导入图像,其他)。我遇到了几个端点,其中请求体包含url,它用于从used服务器导入图像。或者这仅仅是SSRF可能存在的一个指标?
浏览 0修改于2021-01-27得票数 0
回答已采纳
1回答
我知道,file://协议可以利用SSRF来读取本地文件(类似于路径遍历),也可以从与web服务器相同的网络中扫描主机端口。但是如何利用盲SSRF呢?
浏览 0提问于2018-04-01得票数 6
回答已采纳
如果运行SSRF有效负载并返回200 ok,是否意味着目标易受攻击?没有什么东西会像身体里的数据那样被大量泄露,只是到目前为止的内容类型。
浏览 0提问于2022-11-22得票数 0
我正在为我的一个项目运行CheckMarx扫描,它为方法的一个输入字符串参数提供了一个SSRF漏洞。我的方法如下所示,并为参数param1抛出SSRF漏洞。来自CheckMarx的SSRF是:在87号线我有
private String processRequest(final GetMethod method) t
浏览 8修改于2017-06-21得票数 3
我正在测试SSRF漏洞,所以我的问题是:是否可以从SSRF漏洞检查外部IP (来自网络上的另一台计算机)?
浏览 0提问于2017-04-29得票数 1
回答已采纳
如果MIME类型出错,响应将包含以下内容:{"status":"wrong_mime","mime":"text\/html;}应用程序在Amazon上运行,我从对AWS的SSRF攻击上看到,如果一个易受攻击的网站返回信息
浏览 0修改于2022-03-15得票数 1
回答已采纳
我使用的是一个方法,它调用另一个REST API从DB检索ID。当我对类运行veracode扫描时,我在下面的代码行得到了安全缺陷“服务器端请求伪造”。 response = resttemplate.getForEntity(resturl, String.class); 不确定如何解决此问题。任何帮助都是非常感谢的。下面是该方法的完整代码。 public static String getIDFromDB(String resturl) {
RestTemplate resttemplate = new RestTemplate();
浏览 69提问于2020-10-21得票数 0
但是,像chekmarx这样的工具表明,代码对于SSRF(服务器端请求伪造)攻击是可以成功的,因为攻击者可以通过发送请求中的URL或其他数据来控制请求的目标。那么,是否有任何方法可以检查request.getString()是否容易受到java中的SSRF攻击?
浏览 6修改于2016-12-15得票数 3
我刚收到一份笔试报告,这些白痴在注入标题下包含了像SSRF和XXE这样的漏洞!这是胡说八道,他们有一些,但不是全部,注射攻击的特点。对于SSRF、XXE和其他一些问题,不受信任的数据直接传递到危险的接收器。没有字符串连接,所以很明显它们完全不同。SSRF和XXE的补救建议通常围绕着配置,以确保危险的接收器安全,例如禁用外部实体或在孤立的网络段上使用代理。不同的补救方法证明了它们是一个不同的类别。
人们怎么能逃脱这一切?他们甚至有资格认证!
浏览 0修改于2022-10-17得票数 -1
在使用Acunetix扫描代码以查找vunerabilities之后,下面的脚本出现了问题:
“对域hit0yPI7kOCzl.bxss.me启动了HTTP请求,这表明此脚本容易受到SSRF (服务器端请求伪造
浏览 3提问于2016-03-09得票数 2
我在学SSRF。我学会了输入"&x=“可以关闭URL的其余部分(比如https://some.website.com/user?id=9&x=.website.com/api/item?id=9)。
浏览 0修改于2022-08-03得票数 0
回答已采纳
最近,我们的工作场所一直在收紧安全性,并引入了一些相当健壮的扫描软件来处理它,我们已经能够处理大多数漏洞,但其中一个漏洞正在躲避我们,SSRF或服务器端请求伪造。
浏览 8提问于2022-03-25得票数 0
长话短说,不管我怎么尝试,VeraCode都会继续将我的8行代码标记为CWE918的缺陷。这是旧代码,所以我不确定为什么它突然被标记了。 下面是一个带有粗体标记行的违规方法示例 public virtual async Task<HttpResponseMessage> Put(string controller = "", Dictionary<string, object> parameters = null, object body = null) if (string.IsNullOrWhiteS
浏览 131提问于2019-09-13得票数 6
回答已采纳
练习的网址是:https://portswigger.net/web-security/ssrf/lab-ssrf-with-whitelist-filter
http://localhost
浏览 0修改于2020-03-03得票数 2
webapp有一个img标记,它部分地接受用户输入,如下所示:其中第一个/来自域的根。
这里可能有漏洞吗?是否可能使用../,然后尝试路径遍历?
浏览 0提问于2020-09-27得票数 1
result.Content.ReadAsStringAsync();}}
这是我所能做的,以净化我的输入参数OrganizationId和AccountId,但在所有这些更改之后,veracode仍然在线识别SSRF
浏览 6提问于2020-06-13得票数 3
回答已采纳
如果我有一个使用JAX实现的应用服务器,并且在Apache服务器上作为*.war文件运行,那么需要做什么或配置什么来防止SSRF攻击吗?
浏览 0修改于2020-04-20得票数 1
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号