《网络安全0-100》HW1.9

简介: 《网络安全0-100》HW1.9

SSRF漏洞的防范方法?


A


禁止跳转


过滤返回的信息


如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。


统一错误信息


避免用户可以根据错误信息来判断远程服务器的端口状态。


限制请求的端口


比如80,443,8080,8090。


禁止除HTTP和HTTPS外的协议


比如说仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://请求等引起的问题。


对请求地址设置白名单或者限制内网IP


Q


XXE漏洞的原理?


A


XML文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击


Q


如何构建XXE攻击?


A


1.直接通过DTD外部实体声明


2.通过DTD文档引入外部DTD文档,再引入外部实体声明


3.通过DTD外部实体声明引入外部实体声明Q


XXE漏洞的危害?


A


任意文件读取


系统命令执行


执行远程代码


DOS拒绝服务攻击


内网端口探测


攻击内网网站


钓鱼


目录
相关文章
|
XML SQL 安全
《网络安全0-100》HW1.11
《网络安全0-100》HW1.11
66 0
|
SQL 存储 JavaScript
《网络安全0-100》HW1.5
《网络安全0-100》HW1.5
58 0
|
NoSQL Java 中间件
《网络安全0-100》HW1.2
《网络安全0-100》HW1.2
157 0
|
SQL 安全 Unix
《网络安全0-100》知识点1.7
《网络安全0-100》知识点1.7
136 0
|
Web App开发 JSON 安全
《网络安全0-100》HW1.11
《网络安全0-100》HW1.11
113 0
|
SQL 运维 安全
《网络安全0-100》企业网络安全团队构想
《网络安全0-100》企业网络安全团队构想
208 0
|
JSON 安全 fastjson
《网络安全0-100》HW1.13
《网络安全0-100》HW1.13
96 0
|
存储 安全 JavaScript
《网络安全0-100》HW1.12
《网络安全0-100》HW1.12
86 0
|
安全 前端开发 JavaScript
《网络安全0-100》HW1.10
《网络安全0-100》HW1.10
68 0
|
SQL 编解码 安全
《网络安全0-100》HW1.8
《网络安全0-100》HW1.8
82 0