You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Descrição: Atacante é capaz de criar solicitações para um endereço interno ou externo. Sendo capaz de atacar redes internas que normalmente não são disponíveis para o publico em geral.
Descrição do Impacto: Aguardando preenchimento
Solução: Nunca realizar requisições a recursos externos ou internos passados pelo usuário sem uma validação. Se realmente for necessário para a aplicação fazer isso, recomenda-se criar um filtro com uma whitelist especificando os recursos que podem ser acessados, para evitar que a aplicação realize requisições a recursos internos, como exemplo o IP “127.0.0.1”, o hostname “localhost” ou IPs de rede local. Com relação aos recursos externos, pode aplicar um filtro bem similar ao anterior com o objetivo de evitar requisições maliciosas pelo servidor.
Como uma segurança adicional, é uma boa pratica a criação de regras de firewall para evitar a emissão de pacotes maliciosos gerados pela exploração desta vulnerabilidade.
ID: RGB_00003.004
Categoria: CWE-918 Server-Side Request Forgery (SSRF)
Reportado por: Rodrigo Reginato
Projeto: reginato/school-system-test
Criticidade:
Impacto: Alto
Probabilidade: Médio
Criticidade: Alto
Padrões: n/a, CWE Incompatible
Descrição: Atacante é capaz de criar solicitações para um endereço interno ou externo. Sendo capaz de atacar redes internas que normalmente não são disponíveis para o publico em geral.
Descrição do Impacto: Aguardando preenchimento
Solução: Nunca realizar requisições a recursos externos ou internos passados pelo usuário sem uma validação. Se realmente for necessário para a aplicação fazer isso, recomenda-se criar um filtro com uma whitelist especificando os recursos que podem ser acessados, para evitar que a aplicação realize requisições a recursos internos, como exemplo o IP “127.0.0.1”, o hostname “localhost” ou IPs de rede local. Com relação aos recursos externos, pode aplicar um filtro bem similar ao anterior com o objetivo de evitar requisições maliciosas pelo servidor.
Como uma segurança adicional, é uma boa pratica a criação de regras de firewall para evitar a emissão de pacotes maliciosos gerados pela exploração desta vulnerabilidade.
Referência: http://cwe.mitre.org/data/definitions/918.html
Tipo de falha:
**Código:**teste
**Entrada de dados:**testes
**Saída de dados:**teste
Defect Tracker: https://app.conviso.com.br/scopes/193/projects/2186
The text was updated successfully, but these errors were encountered: