2

在我们的 Web 应用程序上运行 Burp 安全套件后,我在一个页面中遇到了一个类似“外部服务交互”的问题,其中有一个用于获取电子邮件地址的文本框。把它想象成邀请其他人访问我们的网站。

该页面应该向用户输入的地址发送电子邮件,因此服务器将解析电子邮件地址中的域名,如 gmail.com、hotmail.com 等。

Burp Suite 说,这可以用作攻击代理。我们有机制来阻止对我们网站的 DDoS 攻击,从而减少我们网站上的攻击面。

还有哪些其他类型的攻击是可能的,我们应该部署哪些预防机制?

4

1 回答 1

-1

当攻击者有可能诱导应用程序与任意外部服务(例如 DNS 等)进行交互时,就会出现外部服务交互。

ESI可以不限于 HTTP、HTTPS 或 DNS,还可以导致 FTP、SMTP 等。这样的弱点可能导致 DDoS 攻击。

这样的ESI会导致

  • DDoS 攻击
  • 操作系统命令注入
  • 代码操作
  • 拒绝服务攻击

为了减轻它

  • 查看 dns.resolve() 、 dns.query() 、 sys_exec() 等函数的源代码
  • 使用白名单检查、基于边界的验证和清理
  • 在网络和网络前端维护白名单
于 2018-07-25T06:52:52.593 回答