代码之家  ›  专栏  ›  技术社区  ›  Sandeep Bhardwaj

如何解决springrestemplate中的服务器端请求伪造问题

fortify spring java
  •  0
  • Sandeep Bhardwaj  · 技术社区  · 6 年前

    在使用springrestemplate时,在Fortify报告中遇到“服务器端请求伪造”问题。

    我正在使用restTemplate调用其他REST服务,并从我的控制器类传递这个url。 url在我的控制器中是硬编码的,而不是用户控制的数据。 

    HttpEntity<R> response = restTemplate.exchange(uri, HttpMethod.POST, entity,
parameterizedTypeReference);

    2 回复  |  直到 5 年前
        1
  •  3
  •   TheGreatContini    6 年前

    SSRF uri 确实是硬编码的,那么攻击者没有能力影响请求的去向,所以看起来确实是误报。然而,尽管Fortify以误报而闻名,但我还没有看到它犯这种错误(即尽管有硬编码的URI,但仍然声明SSRF),所以听到它我有点惊讶。你检查过防御系统提供的所有源到汇的追踪了吗?如果它只报告一行作为源和汇,那么是的,这是一个假阳性。如果有更多,那么如果您提供完整的跟踪信息,将会很有帮助。

        2
  •  0
  •   SPoint    6 年前

    这是你的SAST扫描仪的假阳性

    推荐文章
    Bhargavi Gopalachar  ·  加强审计工作台
    8 年前
    tinman  ·  如何强制cmake在没有完整路径的情况下使用cl.exe?
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号