如何解决如何修复或阻止-外部服务交互HTTP
我收到了这个burp漏洞报告-外部服务交互(HTTP)
XML注入URL路径中。我想知道是否有人知道如何防止这种情况。 我正在使用Visual Studio和WebForms C#在Web应用程序中工作。
我在想,也许可以从IIS或web.config文件中阻止它,但我不确定。
问题详细信息
可以诱使应用程序对任意域执行服务器端HTTP请求。有效负载
该应用程序向指定域执行了HTTP请求,指示XML解析器处理了注入的XInclude定义。
GET /EmployeeDetails/%3cuhz%20xmlns%3axi%3d%22http%3a//www.w3.org/2001/XInclude%22%3e%3cxi%3ainclude%20href%3d%22http%3a//o6vsilg7waiopz0impyw3z2cn3br5。 burpcollaborator.net/foo%22/%3e%3c/uhz%3e?RequestId=428 HTTP / 1.1 接受编码:gzip,放气 接受: / 接受语言:zh 用户代理:Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 83.0.4103.116 Safari / 537.36 连接:关闭
解决方法
外部服务交互,或者换句话说,SSRF意味着Web服务器代表用户发出 GET 请求。在您的情况下,该应用程序代表其向用户提供的URL发出 GET 请求,即
- 阻止列表或白名单域名
- 阻止/过滤用户提供的URL。
- 防止C#代码从用户提供的URL发出GET请求
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。