使用HttpClient我正在调用服务。在此,将一些用户输入(OrderId)附加到服务URL,从功能上讲一切都很好。但是用Fortify工具抛出SSRF问题。我经历了多个建议,但没有一个解决了这个问题。
using (var client = new HttpClient())
{
//Define Headers
**string requestUri = string.Format("{0}{1}", ServiceRequestUrl, OrderId);
HttpResponseMessage request = await client.GetAsync(requestUri);**
var response = await request.Content.ReadAsStringAsync();
Order order = JsonConvert.DeserializeObject<Order>(response);
}
通过删除OrderId解决了SSRF,但是必须输入服务URL
FortyFy的安全性错误
当攻击者可以影响应用程序服务器建立的网络连接时,就会发生服务器端请求伪造。网络连接将来自应用程序服务器的内部IP,攻击者可以使用此连接来绕过网络控制,并扫描或攻击否则不会暴露的内部资源。