在我们的web应用程序上运行时,我在一个页面中遇到了一个类似于“外部服务交互”的问题,其中有一个用于获取电子邮件地址的文本框。想一想就像邀请其他人来我们的网站。
该页面应该向用户输入的地址发送电子邮件,因此服务器将解析gmail.com、hotmail.com等电子邮件地址中的域名。
Burp Suite说,这可以用作攻击代理。我们有机制来阻止DDoS攻击在我们的网站,从而减少攻击表面在我们的网站。
还有哪些其他类型的攻击是可能的,我们应该部署什么样的预防机制?
发布于 2018-07-24 22:52:52
当攻击者有可能诱导应用程序与任意外部服务(如DNS等)交互时,就会出现外部服务交互。
ESI不能仅限于HTTP、HTTPS或DNS,还可以导致FTP、SMTP等,这种弱点会导致DDoS攻击。
这样的ESI会导致
来减轻它
https://stackoverflow.com/questions/46754498
复制