开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

调用REST API时的SSRF漏洞

是指服务器端请求伪造(Server Side Request Forgery)漏洞。它是一种安全漏洞，攻击者可以通过构造恶意请求来利用服务器端的功能，从而实施攻击。具体而言，攻击者通过在请求中控制URL参数或请求头的值，使服务器端发起请求到受攻击方的内部网络或其他不可信任的网络资源。

SSRF漏洞的危害包括但不限于以下几点：

内部资产泄漏：攻击者可能利用SSRF漏洞获取到内部网络中的敏感信息，例如数据库凭证、API密钥等。
进一步攻击链构建：攻击者可以进一步利用SSRF漏洞扩大攻击面，例如通过访问内部管理界面执行恶意操作。
资源消耗：攻击者可能利用SSRF漏洞对其他外部服务进行拒绝服务攻击，导致服务不可用。

防范SSRF漏洞的关键是对用户输入进行有效的过滤和限制，具体建议如下：

白名单过滤：限制服务器只能访问特定的IP地址或域名，并且使用白名单来验证URL参数。
输入验证和过滤：对用户输入进行合法性验证，包括URL格式验证、参数值范围验证等。
使用代理：在服务器端配置代理服务器，限制服务器只能通过代理访问外部资源，并对代理进行安全配置。
内网隔离：将服务器与内部网络隔离，限制服务器的访问权限。

腾讯云提供了多种产品和服务来帮助用户保护系统免受SSRF漏洞的威胁。其中包括：

腾讯云Web应用防火墙（WAF）：WAF可以阻止恶意请求，包括SSRF攻击，保护Web应用的安全。链接：https://cloud.tencent.com/product/waf
腾讯云安全组：安全组提供网络流量控制，可以限制服务器的出口流量，并避免直接访问内网资源。链接：https://cloud.tencent.com/product/cvm/security-group
腾讯云访问控制（CAM）：CAM可以帮助用户管理API访问权限，限制API请求的范围和权限。链接：https://cloud.tencent.com/product/cam

通过采取上述措施，用户可以有效地防范SSRF漏洞的攻击，保护系统和数据的安全。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Python调用REST API接口的几

相信做过自动化运维的同学都用过REST API接口来完成某些动作。API是一套成熟系统所必需的接口，可以被其他系统或脚本来调用，这也是自动化运维的必修课。...本文主要介绍python中调用REST API的几种方式，下面是python中会用到的库。...urllib2 - httplib2 - pycurl - requests urllib2 - Sample1 import urllib2, urllib github_url = 'https://api.github.com...some test repo'}) r = requests.post(github_url, data, auth=('user', '*****')) print r.json 以上几种方式都可以调用...API来执行动作，但requests这种方式代码最简洁，最清晰，建议采用。

3.7K4 0

用Swagger调用Harbor Registry的REST API

题图摄于温哥华机场Sea Island 本文原作者为开源企业级容器Registry Harbor项目的工程师王锟，主要介绍如何使用Harbor内置Swagger来测试和调用Harbor的API。...Harbor还提供RESTful API，其他容器管理平台可以很方便地集成Harbor的功能。本文介绍如何使用Harbor内嵌的Swagger工具，调用和测试RESTful API。...在实际开发过程中，契约的形成是一个不断完善的过程，肯定会经过多次修改、补充，Swagger恰恰满足了这样一个不断变化完善的需求，实现前后端的分离，在进行契约测试时尽早的发现差异，做出调整，将最后集成的风险降至最低...另一种是“动态方式”，将Swagger UI与Harbor REST服务部署在同一个Server中，用户可以使用Swagger来操控并测试Harbor的RESTful API。...RESTful API认证问题通过Swagger UI 来触发Harbor RESTful API时还需要注意“登录状态”问题，因为部分API需要有session的信息。有两种方法来配置。

2.1K2 0

Maximo 使用 REST API 调用 Automation Scripts

创建Automation Scripts 首先在 Maximo 的 Automation Scripts 应用中创建一个自动化脚本，内容如下： Script: countofwoandsr Script...Variable: site Variable Type: IN Binding Type: LITERAL Literal Data Type: ALN Binding Value: site 测试发送 REST...site={{site}}&apikey={{api_key}}&lean=1 返回结果如下： { "wocount": 16711, "srcount": 62, "total": 16773

1111 0

WordPress REST API 内容注入漏洞分析

漏洞简介在REST API自动包含在Wordpress4.7以上的版本，WordPress REST API提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子...上周，一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致WordPress所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。...0x02 漏洞分析其实漏洞发现者已经给出了较为详细的分析过程，接下来说说自己在参考了上面的分析后的一点想法。 WP REST API 首先来说一下REST API。...但是当我们发送一个没有响应文章的ID时，就可以通过权限检查，并允许继续执行对update_item方法的请求。...先不说WordPress页面执行php代码的各种插件，还有相当一部分的WordPress文章可以调用短代码的方式来输出特定的内容，以及向日志中添加内容，这是一个思路。

3.2K7 0

SSRF漏洞的URL编码

简介虽然知道什么是 URL编码，之前也学习过 SSRF漏洞，但是对 SSRF漏洞中要进行一次URL编码或者两次URL编码甚是疑惑。相信很多如我一般初学的小伙伴也有此疑惑。...）是一种由攻击者通过欺骗服务器发起伪造的请求的网络安全漏洞。...所以在解决url编码问题时，需要思考的问题就是一共进行了几次编码。所以当使用工具构造payload时需要进行一次url编码，而使用浏览器就不需要，因为浏览器会默认编码一次。...总结在多数的SSRF中，是要对payload进行多次编码的。...实例这是一个简单的SSRF漏洞靶场，会向内网其他服务器进行sql注入。直接看payload： --浏览器 http://172.72.23.23:80?

3343 0

Maximo 使用 REST API 创建并调用 Automation Scripts

创建 Automation Script 发送 POST 请求，参数如下: url: POST /api/os/mxapiautoscript?...apikey={{api_key}}&lean=1 headers: Content-Type: application/json properties: * body: {...srCount; resp.total = srCount+woCount; var responseBody = JSON.stringify(resp); " } 调用...site=BEDFORD&apikey={{api_key}}&lean=1 headers: Content-Type: application/json 返回结果如下： { "wocount

931 0

新曝WordPress REST API内容注入漏洞详解

在4.7.0版本后，REST API插件的功能被集成到WordPress中，由此也引发了一些安全性问题。...近日，一个由REST API引起的影响WorePress4.7.0和4.7.1版本的漏洞被披露，该漏洞可以导致WordPress所有文章内容可以未经验证被查看，修改，删除，甚至创建新的文章，危害巨大。...(2) 漏洞复现 ①根据REST API文档，修改文章内容的数据包构造如下： ?...漏洞发现之技术细节 Sucuri研究人员的漏洞发现过程始于./wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php ?...这种行为本身不失为一种防止攻击者编制恶意ID值的好方法，但是当查看REST API如何管理访问时，研究人员很快发现其给予$_GET 和$_POST值的优先级高于路由的正则表达式生成的值。

2.7K6 0

LoRaServer 笔记 2.6 WebUI 中 Rest API 的调用逻辑分析

前言应用如何根据 LoRa App Server 提供的北向 API 进行开发呢？那么多的 API 都是怎么使用，这篇笔记梳理了主要API的调用逻辑。...小能手最近在学习 LoRa Server 项目，应该是最有影响力的 LoRaWAN 服务器开源项目。它组件丰富，代码可读性强，是个很好的学习资料。更多学习笔记，可点此查看。...参数说明 serviceProfile 将应用的通用参数做了抽象提出，这里必须填入，以前倒是没有。...deviceProfileID 及 applicationID，以及web输入的DevEUI 回复 200 OK API 示例 2 POST /api/devices/{device_keys.dev_eui...", "devEUI":"0000000000000002" } } 参数说明这里感觉有问题，WebUI 上填的是 appKey，API 传递进来却变成了 nwkKey。

1.3K2 0

Hadoop Yarn REST API未授权漏洞利用挖矿分析

一、背景情况 5月5日腾讯云安全曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击，攻击者可以在未授权的情况下远程执行代码的安全问题进行预警，在预警的前后我们曾多次捕获相关的攻击案例...YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，那么任何黑客则就均可利用其进行远程命令执行...，黑客直接利用开放在8088的REST API提交执行命令，来实现在服务器内下载执行.sh脚本，从而再进一步下载启动挖矿程序达到挖矿的目的。...这个方法的核心功能还是校验已存在的挖矿程序的MD5，如果无法验证或者文件不存在的情况，则直接调用download方法下载挖矿程序；如果文件存在但MD5匹配不正确，则调用download方法后再次验证，验证失败则尝试从另外一个下载渠道...认证功能，禁止匿名访问 4.云镜当前已支持该漏洞检测，同时也支持挖矿木马的发现，建议安装云镜并开通专业版，及时发现漏洞并修复或者在中马后能及时收到提醒进行止损 5.更多自检和修复建议可以参考 http:

4.4K6 0

SSRF漏洞挖掘的思路与技巧

前几天360冰刃实验室的研究员洪祯皓发现了一个Hyper-V的漏洞，由于漏洞危险级别高，影响范围广，微软在确认漏洞细节后第一时间确认奖金并致谢漏洞发现者。...基础的SSRF漏洞利用随便找了个输入点，假设这个图中的点就是漏洞点吧，因为真正的漏洞点不好放出来，也不好打码。 ?...weblogic的SSRF漏洞提起Weblogic，相信很多人都熟悉，所以关于Weblogic的其他漏洞笔者就不献丑了，就只在这个地方聊一下Weblogic的SSRF漏洞。...WebLogic的SSRF漏洞算是一个比较知名的SSRF漏洞，具体原理可以自行谷歌。本篇主要是通过复现该漏洞来加深对SSRF漏洞的理解。...Weblogic的SSRF漏洞的存在页面笔者就不说了，百度都可以找到的，页面的样子是这个样子的： ?

1.3K2 1

Apache Flink目录遍历漏洞（REST API读写远程文件）

CVE-2020-17518复现 0x01 漏洞描述 Apache Flink目录遍历漏洞，可通过REST API读/写远程文件 0x02 影响版本 Flink 1.5.1-1.11.2 0x03

1.2K4 0

REST API和GraphQL API的比较

REST API REST（表述性状态传输）API 是一种应用程序接口 (API) 的架构风格，它使用 HTTP 请求来访问和使用数据。...RESTful API 使用 HTTP 方法在处理数据时执行 CRUD（创建、读取、更新和删除）过程。为了促进缓存、AB 测试、身份验证和其他过程，标头向客户端和服务器提供信息。...动图 )在 GraphQL 和 REST 之间进行选择时要考虑的事项安全 REST API 使用 HTTP，允许使用传输层安全性进行加密，并提供多种 API 身份验证选项。...由于请求需要时间才能到达正确的数据并提供相关信息，因此开发人员必须进行多次调用。缓存 REST API 的所有 GET 端点都可以缓存在服务器上或通过 CDN。...与 REST API 相比，这是一个明显的区别，在 REST API 中，每个状态代码都指向某种类型的响应。

4421 0

Spring Cloud Task 任务执行-通过调用 REST API 启动任务

Spring Cloud Task提供了REST API来启动任务。通过REST API启动任务使我们能够从其他应用程序或脚本中启动任务，从而进一步提高了任务的可用性和灵活性。...tasklet方法中的代码将在任务执行期间运行。启动任务定义任务之后，我们可以使用REST API启动任务。...以下是使用REST API启动任务的示例：POST /tasks/execute?...name=myTask在这个示例中，我们使用POST方法调用/tasks/execute端点，并使用name参数指定要启动的任务的名称。...例如，以下是使用REST API传递任务参数的示例：POST /tasks/execute?

1K2 0

撰写合格的REST API

REST API是一个系统的backend和frontend（或者3rd party）打交道的通道，承前启后，有很多很多隐式需求，比如调用接口与RFC保持一致，API的内在和外在的安全性等等，并非提供几个...稍稍总结了些经验，在这篇文章里讲讲如何撰写「合格的」REST API。 RFC一致性 REST API一般用来将某种资源和允许的对资源的操作暴露给外界，使调用者能够以正确的方式操作资源。...如今鲜有人在撰写REST API时，简单说来就是一个操作符合幂等性，那么相同的数据和参数下，执行一次或多次产生的效果（副作用）是一样的。...当客户端调用API时，用自己的access-secret按照要求对request的headers/body计算HMAC，然后把自己的access-key和HMAC填入Authorization头中。...docs：丰富的接口文档 - API的调用者需要详尽的文档来正确调用API，可以用swagger来实现。 hooks/event propogation：其他系统能够比较方便地与该API集成。

1.6K5 0

restful api接口规范和服务调用的区别_rest接口规范

RESTful API是目前比较成熟的一套互联网应用程序的API设计理论。...如果一个架构符合REST的约束条件和原则，我们就称它为RESTful架构。...虽然REST本身受Web技术的影响很深，但是理论上REST架构风格并不是绑定在HTTP上，只不过目前HTTP是唯一与REST相关的实例。 1....username=root&password=Zion0101 Content-Type: multipart/form-data; boundary=—-RANDOM_jDMUxq4Ot5 (表单有文件上传时的格式...URI失效随着系统发展，总有一些API失效或者迁移，对失效的API，返回404 not found 或 410 gone；对迁移的API，返回 301 重定向。

1.8K1 0

REST API和SOAP API之间的区别

The Representational State Transfer (REST)架构风格不是可以购买的技术，也不是可以添加到软件开发项目中的库。...“无状态”这个术语是一个至关重要的部分，因为它允许应用程序以不一样的方式进行通信。一个RESTful API服务通过统一资源定位器(URL)公开。这个逻辑名称将资源的标识与所接受或返回的标识分开。...这是最常见的请求，每次在浏览器中键入URL并单击return、选择书签或单击锚点引用链接时执行。对于与RESTful API的编程交互，可以使用十几种或更多的客户端API或工具。...这种以不同形式请求信息的能力是可能的，因为资源的名称与其形式分离。尽管REST中的“R”是“表示”，而不是“资源”，但在构建允许客户以他们想要的形式询问信息的系统时，应该记住这一点。...尽管您可以用任何一种方法解决许多架构问题，但它们并不是可以互换使用的。这种混乱很大程度上源于一种误解，即REST“关于通过url调用Web服务”。这个想法与RESTful架构的功能根本不相符。

2K1 0

REST API和SOAP API之间的区别

“无状态”这个术语是一个至关重要的部分，因为它允许应用程序以不一样的方式进行通信。一个RESTful API服务通过统一资源定位器(URL)公开。这个逻辑名称将资源的标识与所接受或返回的标识分开。...这是最常见的请求，每次在浏览器中键入URL并单击return、选择书签或单击锚点引用链接时执行。对于与RESTful API的编程交互，可以使用十几种或更多的客户端API或工具。...这种以不同形式请求信息的能力是可能的，因为资源的名称与其形式分离。尽管REST中的“R”是“表示”，而不是“资源”，但在构建允许客户以他们想要的形式询问信息的系统时，应该记住这一点。...尽管您可以用任何一种方法解决许多架构问题，但它们并不是可以互换使用的。这种混乱很大程度上源于一种误解，即REST“关于通过url调用Web服务”。这个想法与RESTful架构的功能根本不相符。...如果没有对RESTful架构实现的更宏观的理解，很容易失去实践的意图。 REST最好用于管理系统，通过将产生和使用它的技术产生和使用的信息解耦。

1.3K2 0

挖洞经验 | 开放重定向漏洞导致的账户劫持

GraphQL是一种API数据查询语言，很多大公司都用GraphQL API代替了 REST API。...该请求本身没有多大问题，但其中出现的id变量确实让我有了兴趣，这里的id是以string而并非整数被发送传输的，当时我就想，这个id号能否用来对目标网站内部某个API执行ssrf请求呢？...目标网站使用REST和GraphQL方式来获取、更改和删除用户数据，而GraphQL有点类似REST API的代理，其可以向服务端不同的REST端点发起ssrf请求，以获取或更改相关数据，就比如以下GraphQL...我这边在ngrok服务中收到的请求信息如下：尝试请求AWS元数据碰壁有了上述的SSRF漏洞，接下来我想尝试去请求目标网站部署在AWS EC2实例的元数据。...综合利用一个开放重定向漏洞，一个路径遍历漏洞，再加一个CSRF漏洞，综合构造以下链接以获取受害者Cookie信息： https://target.com/api/graphql/v2?

1.8K2 0

你确定你的 REST API 真的符合 REST 规范？

RESTful API 的存在是 web 开发历史上的一个里程碑。在本文中，我将和你探讨几种节省 REST API 开发时间的方法，并给出相关的 Node.js 示例。...RESTful API 背后的思想是遵循REST 规范中描述的所有架构规则和限制的方式进行开发。然而，实际上，这在实践中基本上是不可能的。一方面，REST 包含了太多模糊和模棱两可的定义。...REST API 规范能做什么? 尽管存在上面说到的缺点，但使用合理的方法，REST 仍然是创建真正优秀 api 的一个绝佳选择。...因为你通过高质量的 API 规范实现的 api 将会是一致的，具有清晰的结构、良好的文档和高的单元测试覆盖率。通常，REST API规范与其文档相关联。...这将使使用你的 API 的开发人员感到轻松，并且肯定比手工填写 REST API 文档模板要好。

2632 0

追洞计划 | Gitlab CI Lint API未授权 SSRF漏洞(CVE-2021-22214)

CVE-2021-22214 GitLab存在前台未授权SSRF漏洞，未授权的攻击者也可以利用该漏洞执行SSRF攻击（CVE-2021-22214）。...该漏洞源于对用户提供数据的验证不足，远程攻击者可通过发送特殊构造的 HTTP 请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。 ?...GitLab_Graphql邮箱信息泄露漏洞(CVE-2020-26413) 一、漏洞描述 GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统...Gitlab本身不允许获取账号邮箱信息，这里通过调用 Graphql 用户名查询造成了邮箱泄露漏洞查看完报告后发现漏洞利用需要有账号用户名，在不知道的情况下无法获取邮箱，在Graphql官网查看得知可以通过另一个构造的语句一次性返回所有的用户名和邮箱...发包调用了 /api/graphql 接口发送数据完整数据包为: POST //api/graphql HTTP/1.1 Host: 10.1.2.33:8888 User-Agent: Mozilla

2.8K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭