1.IP登錄限制繞過
系統根據客戶端提交的x-forwarded-for值來判斷內網登陸還是外網登陸,當客戶端請求攜帶x-forwarded-for值為127.0.0.1時,可直接使用內網登陸方式登陸系統。
2.服務端請求偽造攻擊
是由於有些應用(網頁分享、站長工具、圖片搜索等)提供了通過URL 獲取其他站點資源的功能,當這種功能沒有對協議、網絡邊界等做好限制,導致這種功能被濫用,攻擊者可以利用這種缺陷獲取內網敏感數據、DOS 內網服務器、獲取內網服務器權限、讀取文件等。
1)A 站從瀏覽器獲取到用戶輸入的URL;
2)A 站根據收到的URL,向B 站發送HTTP 請求獲取到響應內容;
3)將收到的內容返回給瀏覽器。
服務端請求偽造攻擊防護
- 過濾內網服務器對公網服務器請求的響應。如果Web應用是獲取某一類型的文件,在把返回結果展示給用戶之前應先驗證返回的信息是否符合文件類型標準,比如返回信息應為圖片,如果返回信息是HTML,則停止將返回信息返回客戶端。
- 統一錯誤提示信息,避免用戶可以根據錯誤信息來判斷遠端服務器的端口狀態。
- 在內網服務器的防火牆上限制公網服務器的請求端口為HTTP等協議常用端口,如:80、443、8080、8090。
- 若公網服務器的內網IP與內網無業務通信,建議將公網服務器對應的內網IP列入黑名單,避免應用被用來獲取內網數據。
- 內網服務器禁用不必要的協議,僅允許HTTP和HTTPS請求,防止類似於file:///、gopher://、ftp:// 等協議引起的安全問題。
3.異常調試信息洩露
代碼中使用e.printStackTrace()打印異常錯誤信息,在系統發生異常時,如未自定義錯誤頁面,系統就會將發生異常的詳細信息打印出來。
分享到:
閱讀更多 f飛啊飛f 的文章
