Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Node.js 从服务器获取未知url的安全影响_Node.js_Security - Fatal编程技术网
Fatal编程技术网
  • node.js/
  • Node.js 从服务器获取未知url的安全影响

Node.js 从服务器获取未知url的安全影响

node.js security

Node.js 从服务器获取未知url的安全影响,node.js,security,Node.js,Security,我有一个应用程序,用户可以给出一个API URL,然后按计划点击该URL(例如:每隔25分钟从SpaceX API获取数据) 如果服务器是node.js应用程序,是否有任何安全隐患需要担心?通过从未知URL获取数据(使用节点获取),会出现什么问题?是的,您的应用程序会暴露在 在服务器端请求伪造(SSRF)攻击中,攻击者可以滥用服务器上的功能来读取或更新内部资源。攻击者可以提供或修改服务器上运行的代码将读取或提交数据的URL,通过仔细选择URL,攻击者可以读取服务器配置,如AWS元数据,连接到内部

我有一个应用程序,用户可以给出一个API URL,然后按计划点击该URL(例如:每隔25分钟从SpaceX API获取数据)

如果服务器是node.js应用程序,是否有任何安全隐患需要担心?通过从未知URL获取数据(使用
节点获取
),会出现什么问题?

是的,您的应用程序会暴露在

在服务器端请求伪造(SSRF)攻击中,攻击者可以滥用服务器上的功能来读取或更新内部资源。攻击者可以提供或修改服务器上运行的代码将读取或提交数据的URL,通过仔细选择URL,攻击者可以读取服务器配置,如AWS元数据,连接到内部服务,如启用http的数据库,或对不打算公开的内部服务执行post请求

例如,如果您的应用程序托管在AWS EC2上,则攻击者可以向本地AWS元数据服务提供url(),这可能会向攻击者公开AWS令牌。 此攻击假定请求的结果返回给攻击者

攻击

使用代理/VPN服务是否可以缓解此问题?或者有更好的方法来缓解这种情况吗?代理/VPN不相关,这不是拦截的问题,而是让您的服务向内部基础设施发出请求的问题,这不是公开的。为了减轻SSRF,请阅读我添加的文章