外部服务互动(SMTP)
描述:外部服务互动(SMTP)
当可能诱导应用程序与任意外部服务(例如Web或Mail Server)互动时,外部服务互动就会出现。beplay体育能用吗触发任意外部服务交互的能力本身并不构成漏洞,在某些情况下,甚至可能是应用程序的预期行为。但是,在许多情况下,它可以表明脆弱性带来严重后果。
将请求发送到其他系统的能力可以使弱势服务器被用作攻击代理。通过提交合适的有效载荷,攻击者可以使应用程序服务器攻击可以与之交互的其他系统。这可能包括公共第三方系统,同一组织内的内部系统或应用程序服务器本身本地回环适配器上可用的服务。根据网络体系结构,这可能会暴露出高度脆弱的内部服务,而外部攻击者原本无法访问。
将电子邮件生成任意地址的设施通常是申请行为。但这不一定是这种情况,在用户未在屏幕上明确输入目标地址的情况下。
补救:外部服务互动(SMTP)
您应该查看相关应用程序功能的目的和预期用途,并确定触发任意外部服务交互的能力是否是预期的行为。如果是这样,您应该知道可以通过此行为执行的攻击类型并采取适当的措施。这些措施可能包括阻止网络访问从应用程序服务器到其他内部系统,并硬化应用程序服务器本身以删除本地环回适配器上可用的任何服务。
如果触发任意外部服务交互的能力不是预期的行为,那么您应该实现允许的服务和主机的白名单,并阻止该白名单上未出现的任何交互。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00300220
类型索引(十进制)
3146272