1.IP登录限制绕过
系统根据客户端提交的x-forwarded-for值来判断内网登陆还是外网登陆,当客户端请求携带x-forwarded-for值为127.0.0.1时,可直接使用内网登陆方式登陆系统。
2.服务端请求伪造攻击
是由于有些应用(网页分享、站长工具、图片搜索等)提供了通过URL 获取其他站点资源的功能,当这种功能没有对协议、网络边界等做好限制,导致这种功能被滥用,攻击者可以利用这种缺陷获取内网敏感数据、DOS 内网服务器、获取内网服务器权限、读取文件等。
1)A 站从浏览器获取到用户输入的URL;
2)A 站根据收到的URL,向B 站发送HTTP 请求获取到响应内容;
3)将收到的内容返回给浏览器。
服务端请求伪造攻击防护
- 过滤内网服务器对公网服务器请求的响应。如果Web应用是获取某一类型的文件,在把返回结果展示给用户之前应先验证返回的信息是否符合文件类型标准,比如返回信息应为图片,如果返回信息是HTML,则停止将返回信息返回客户端。
- 统一错误提示信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
- 在内网服务器的防火墙上限制公网服务器的请求端口为HTTP等协议常用端口,如:80、443、8080、8090。
- 若公网服务器的内网IP与内网无业务通信,建议将公网服务器对应的内网IP列入黑名单,避免应用被用来获取内网数据。
- 内网服务器禁用不必要的协议,仅允许HTTP和HTTPS请求,防止类似于file:///、gopher://、ftp:// 等协议引起的安全问题。
3.异常调试信息泄露
代码中使用e.printStackTrace()打印异常错误信息,在系统发生异常时,如未自定义错误页面,系统就会将发生异常的详细信息打印出来。
分享到:
閱讀更多 f飛啊飛f 的文章
