猿问

dns rebinding做ssrf怎样进行防御呢~

问题场景

例如http://axxx.com/?url=http://b.com/
想获取http://b.com/下的网页内容,则需要向该域名发起请求
但是需要避免访问到内网

对b.com域名进行ip解析的时候是外网,接着真正请求b.com的时候解析的ip变成了内网
这样利用了这个时间差就构造了一个ssrf攻击的场景
涉及dns rebinding

目前想到的一种最暴力的就是添加白名单的方式
希望能有大佬分享一下解决方案,不胜感激

目前是用nodejs在对这个ssrf做防御,有没有可能在真正发送请求的时候拿到域名对应请求的ip呢


拉莫斯之舞
浏览 1016回答 1
1回答

PIPIONE

问题已解决,有个req.socket.remoteAddress字段可以判断请求的地址ip
随时随地看视频慕课网APP

相关分类

Node.js
我要回答