auto-favicon Server-Side Request Forgery Vulnerability Report 漏洞概述 漏洞类型: 服务端请求伪造 (SSRF) CVE ID: CVE-918 受影响组件: 漏洞描述: 工具接受任意 参数,使用 发起请求。该函数未对目标地址进行任何验证(如限制协议、主机、端口或重定向),导致攻击者可以指示服务访问内网地址(如 、 地址或云元数据端点)。 影响范围 受影响版本: 1.0.1 安全影响: 机密性: 高(可访问内部 HTTP 服务、管理面板、元数据端点)。 完整性: 低到中等(取决于内部服务对 GET 请求的支持)。 可用性: 低到中等(可用于探测或压力测试内部服务)。 修复方案 1. 严格 URL 验证: 在发起网络请求前进行严格校验。 2. IP 地址解析与过滤: 将主机名解析为 IP 地址,拒绝内部目标(IPv4 和 IPv6)。 3. 重定向检查: 设置 或在每次重定向时重新应用验证策略。 4. 回归测试: 增加针对 、 、 地址及元数据端点的测试用例。 概念验证 (PoC) Reproduction request:**