Node.js 从服务器获取未知url的安全影响
我有一个应用程序,用户可以给出一个API URL,然后按计划点击该URL(例如:每隔25分钟从SpaceX API获取数据)Node.js 从服务器获取未知url的安全影响,node.js,security,Node.js,Security,我有一个应用程序,用户可以给出一个API URL,然后按计划点击该URL(例如:每隔25分钟从SpaceX API获取数据) 如果服务器是node.js应用程序,是否有任何安全隐患需要担心?通过从未知URL获取数据(使用节点获取),会出现什么问题?是的,您的应用程序会暴露在 在服务器端请求伪造(SSRF)攻击中,攻击者可以滥用服务器上的功能来读取或更新内部资源。攻击者可以提供或修改服务器上运行的代码将读取或提交数据的URL,通过仔细选择URL,攻击者可以读取服务器配置,如AWS元数据,连接到内部
如果服务器是node.js应用程序,是否有任何安全隐患需要担心?通过从未知URL获取数据(使用
节点获取
),会出现什么问题?是的,您的应用程序会暴露在
在服务器端请求伪造(SSRF)攻击中,攻击者可以滥用服务器上的功能来读取或更新内部资源。攻击者可以提供或修改服务器上运行的代码将读取或提交数据的URL,通过仔细选择URL,攻击者可以读取服务器配置,如AWS元数据,连接到内部服务,如启用http的数据库,或对不打算公开的内部服务执行post请求
例如,如果您的应用程序托管在AWS EC2上,则攻击者可以向本地AWS元数据服务提供url(),这可能会向攻击者公开AWS令牌。
此攻击假定请求的结果返回给攻击者
攻击使用代理/VPN服务是否可以缓解此问题?或者有更好的方法来缓解这种情况吗?代理/VPN不相关,这不是拦截的问题,而是让您的服务向内部基础设施发出请求的问题,这不是公开的。为了减轻SSRF,请阅读我添加的文章