第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

dns rebinding做ssrf怎樣進(jìn)行防御呢~

dns rebinding做ssrf怎樣進(jìn)行防御呢~

拉莫斯之舞 2018-10-23 10:47:35
問(wèn)題場(chǎng)景例如http://axxx.com/?url=http://b.com/想獲取http://b.com/下的網(wǎng)頁(yè)內(nèi)容,則需要向該域名發(fā)起請(qǐng)求但是需要避免訪(fǎng)問(wèn)到內(nèi)網(wǎng)對(duì)b.com域名進(jìn)行ip解析的時(shí)候是外網(wǎng),接著真正請(qǐng)求b.com的時(shí)候解析的ip變成了內(nèi)網(wǎng)這樣利用了這個(gè)時(shí)間差就構(gòu)造了一個(gè)ssrf攻擊的場(chǎng)景涉及dns rebinding目前想到的一種最暴力的就是添加白名單的方式希望能有大佬分享一下解決方案,不勝感激目前是用nodejs在對(duì)這個(gè)ssrf做防御,有沒(méi)有可能在真正發(fā)送請(qǐng)求的時(shí)候拿到域名對(duì)應(yīng)請(qǐng)求的ip呢
查看完整描述

1 回答

?
PIPIONE

TA貢獻(xiàn)1829條經(jīng)驗(yàn) 獲得超9個(gè)贊

問(wèn)題已解決,有個(gè)req.socket.remoteAddress字段可以判斷請(qǐng)求的地址ip

查看完整回答
反對(duì) 回復(fù) 2018-10-23
  • 1 回答
  • 0 關(guān)注
  • 1049 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢(xún)優(yōu)惠詳情

幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)