Что именно означает "взаимодействие внешних служб", о котором сообщает Burp Suite?

Question

Что именно означает "взаимодействие внешних служб", о котором сообщает Burp Suite?

После запуска Burp Security Suite в нашем веб-приложении у меня появляется проблема типа "Взаимодействие с внешними сервисами" на странице, где есть текстовое поле для получения адресов электронной почты. Думайте об этом, как о приглашении других людей на наш сайт.

Предполагается, что страница отправляет электронную почту на адреса, которые вводит пользователь, поэтому сервер будет разрешать доменное имя в адресах электронной почты, таких как gmail.com, hotmail.com и т. Д.

Burp Suite говорит, что это может быть использовано в качестве прокси-атаки. У нас есть механизмы, чтобы остановить DDoS-атаки на наш сайт, тем самым уменьшая поверхность атаки на наш сайт.

Какие еще виды атак возможны и какие превентивные механизмы мы должны использовать?

2

security burp server-side-attacks client-side-attacks

Источник

15 окт '17 в 11:23

1 ответ

Другие вопросы по тегам security burp server-side-attacks client-side-attacks

user4934883 25 июл '18 в 06:52 2018-07-25 06:52 · Answer 1 · 2018-07-25 06:52

Взаимодействие с внешним сервисом возникает, когда злоумышленник может заставить приложение взаимодействовать с произвольным внешним сервисом, таким как DNS и т. Д.

ESI может не ограничиваться HTTP, HTTPS или DNS, вы можете привести к FTP, SMTP и т. Д. Такая слабость может привести к DDoS-атаке.

Такой ESI может привести к

DDoS-атака
Внедрение команд ОС
Манипулирование кодом
DOS атаки

Чтобы смягчить это

Просмотрите исходный код для таких функций, как dns.resolve(), dns.query(), sys_exec() и т. Д.
Используйте проверку белого списка, проверку на основе границ и санитарную обработку
Поддерживать белый список в сети и на веб-фронте