問題タブ [ssrf]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - サーバーサイド リクエスト フォージェリ (SSRF) の取得 (CWE ID 918) restTemplate.getForEntity
restTemplateマイクロサービス アーキテクチャでの同期サービス間通信に使用しています。
Veracodeスキャンが完了するとServer-Side Request Forgery (SSRF) (CWE ID 918)、getForEntityメソッドに入ります。
なぜこのSSRF問題が発生するのかわかりませんか?.
これに対する可能な修正は何ですか?
security - X-Forwarded-For の解析中に DNS ルックアップを回避する方法
私のアプリケーションでは、X-Forwarded-For リクエスト ヘッダー値がサーバーによって盲目的に信頼されているため、任意のドメイン名のサーバー側 DNS ルックアップをアプリケーションに実行させることが実際に可能です。
誰かが X-Forwarded-For リクエスト ヘッダーを使用して「脆弱なサーバー」としてリクエストを傍受したときに、ここで DNS ルックアップを防ぐ方法 (例: X-Forwarded-For:evilsrver.net)。
ホストフィルタリングを提案するこの興味深いチケットhttps://github.com/akka/akka/issues/19388を見つけました。
この問題を解決する他の方法はありますか?