使用spring restTemplate时,强化报告中出现“服务器端请求伪造”问题。
我正在使用restTempalte调用一些其他的REST服务,并从我的控制器类传递此URL。 该网址是硬编码在我的控制器中的,而不是用户控制的数据。
HttpEntity<R> response = restTemplate.exchange(uri, HttpMethod.POST, entity,
parameterizedTypeReference);
不确定如何解决此问题。
答案 0 :(得分:2)
SSRF来控制服务器发出的传出请求。如果uri确实是硬编码的,则攻击者将无权影响请求的去向,因此它的确会是误报。但是,尽管Fortify以误报而闻名,但我还没有看到它会造成这种类型的错误(即尽管使用了硬编码的URI仍声称拥有SSRF),所以听到此消息我感到有些惊讶。您是否检查了Fortify提供的整个源到汇跟踪?如果仅报告一条线作为源和宿,则是的,它是误报。如果还有更多,那么提供完整的跟踪信息将很有帮助。
答案 1 :(得分:0)
这是SAST扫描仪的FalsePositive