带外资源负载(HTTP)
描述:带外资源负载(HTTP)
当可能诱导应用程序以从任意外部位置获取内容并将该内容纳入应用程序自己的响应中时,就会出现带外资源负载。触发任意带外资源负载的能力本身并不构成漏洞,在某些情况下,甚至可能是应用程序的预期行为。但是,在许多情况下,它可以表明脆弱性带来严重后果。
从其他系统请求和检索Web内容的能力可以允许应用程序服务器用作双向攻击代beplay体育能用吗理。通过提交合适的有效载荷,攻击者可以使应用程序服务器攻击或检索可以与之交互的其他系统。这可能包括公共第三方系统,同一组织内的内部系统或应用程序服务器本身本地回环适配器上可用的服务。根据网络体系结构,这可能会暴露出高度脆弱的内部服务,而外部攻击者原本无法访问。
此外,应用程序对从任意URL检索的Web内容的处理暴露了一些重要且非规定的攻击表面。beplay体育能用吗攻击者可以部署返回恶意内容的Web服务器,然后诱导beplay体育能用吗应用程序检索和处理该内容。此处理可能会引起通常在对应用程序请求中直接提交意外输入时发现的基于输入的漏洞的类型。应用程序暴露的带外攻击表面应对这些类型的漏洞进行彻底测试。
修复:带外资源负载(HTTP)
您应该查看相关应用程序功能的目的和预期用途,并确定触发任意带外资源负载的能力是预期的行为。如果是这样,您应该知道可以通过此行为执行的攻击类型并采取适当的措施。这些措施可能包括阻止网络访问从应用程序服务器到其他内部系统,并硬化应用程序服务器本身以删除本地环回适配器上可用的任何服务。您还应确保以安全的方式处理从其他系统中检索的内容,并在直接传入Web请求中处理输入时适用的通常预防措施。beplay体育能用吗
如果触发任意带外资源负载的能力不是预期的行为,则应实现允许URL的白名单,并将屏蔽请求封锁到该白名单上未出现的URL。
参考
脆弱性分类
典型的严重程度
高的
类型索引(HEX)
0x00100A00
类型索引(十进制)
1051136