关于SSRF漏洞的防御—Hack之路

SSRF漏洞防御

防止SSRF漏洞的主要方式是合理控制访问权限,尽可能的控制PHP的访问权限,防止穿透到内网以及访问非授权资源。通常需要做到以下几点。
(1)无特殊需要的情况下,不要从用户那里接收要访问的URL,防止用户自行构造恶意地址
(2)在没有对服务器本身文件访问需求的情况下,建议开启PHP的open_basedir配置,将PHP的访问控制在特定目录下,禁止PHP随意访问服务器任意路径
在PHP配置中开启open_basedir

关于SSRF漏洞的防御---Hack之路

PHP配置中限制PHP的访问路径

(3)如果必须要接收用户传递的URL,建议使用白名单机制,只允许用户请求特定的地址,限制请求的端口为HTTP常用的端口,比如80,443,同时只允许用户访问特定的文件类型,如只允许访问静态文件。并且统一系统返回的错误信息,避免请求错误的信息直接返回给用户,避免用户可以根据错误信息来判断远端服务器的端口状态。禁用不需要的协议,仅仅允许http和https,可以防止类似于file:///,gopher://,ftp://引起的安全问题

(4)如果在项目中需要获取外网资源,建议使用黑名单屏蔽内网,以避免应用被用来获取内网数据,攻击内网

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/09/12/%e5%85%b3%e4%ba%8essrf%e6%bc%8f%e6%b4%9e%e7%9a%84%e9%98%b2%e5%be%a1-hack%e4%b9%8b%e8%b7%af/

发表评论

邮箱地址不会被公开。 必填项已用*标注