为了账号安全,请及时绑定邮箱和手机立即绑定

dns rebinding做ssrf怎样进行防御呢~

dns rebinding做ssrf怎样进行防御呢~

拉莫斯之舞 2018-10-23 10:47:35
问题场景例如http://axxx.com/?url=http://b.com/想获取http://b.com/下的网页内容,则需要向该域名发起请求但是需要避免访问到内网对b.com域名进行ip解析的时候是外网,接着真正请求b.com的时候解析的ip变成了内网这样利用了这个时间差就构造了一个ssrf攻击的场景涉及dns rebinding目前想到的一种最暴力的就是添加白名单的方式希望能有大佬分享一下解决方案,不胜感激目前是用nodejs在对这个ssrf做防御,有没有可能在真正发送请求的时候拿到域名对应请求的ip呢
查看完整描述

1 回答

?
PIPIONE

TA贡献1829条经验 获得超9个赞

问题已解决,有个req.socket.remoteAddress字段可以判断请求的地址ip

查看完整回答
反对 回复 2018-10-23
  • 1 回答
  • 0 关注
  • 1015 浏览

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信