在编写HTTP代理时，我需要考虑哪些安全问题？

Question

我的公司编写了一个HTTP代理，它接受原始网站页面并对其进行翻译。想一想Google，Bing等提供的网络翻译服务。

我正在对服务和相关网站进行安全测试。当然，我还没有想到过对网站的百万次攻击或滥用。此外，我不希望我们的网站成为允许匿名攻击第三方网站的载体。由于该网站从开放之日起就会受到许多人的关注，因此确保我们的服务和我们服务所访问的网站的安全性与我有关。

任何人都可以向我发送任何在线或发布的安全测试信息。例如要担心的攻击列表，创建网站/代理/等的安全最佳实践。我对安全问题有很好的理解（XSS，CSRF，SQL注入等）。我正在寻找资源来帮助我创建安全测试测试的具体细节。

任何指针？

看到：

• https://www.owasp.org/index.php/Top_10
• https://stackoverflow.com/questions/1267284/common-website-attack-methods-detection-and-recovery

Answer 1

翻译服务最明显的问题：

• 确保代理无法访问内部网络。当你想到但在第一版中大多被遗忘时显而易见。即用户不应要求http://127.0.0.1等翻译。您可以想象这可能会导致一些严重的问题。一个聪明的攻击是http://127.0.0.1/trace.axd，当它认为来自localhost的请求时，它会暴露出超过必要的攻击。如果您在该系统和任何其他系统之间也有任何基于IP的限制，您可能也需要小心它们。
• XSS是一个明显的问题，请确保在单独的域（例如谷歌翻译）中将翻译传递给用户。这是至关重要的，甚至不认为您可以成功过滤XSS攻击。

除了所有其他常见Web安全问题之外，还有很多事情要做。 OWASP是启动自动化测试的最佳资源，有免费工具，例如Netsparker和Skipfish