lemon icon indicating copy to clipboard operation
lemon copied to clipboard

Published 20 hours ago verified publisher icon xuhuisheng

ssrf

Open QiAnXinCodeSafe opened this issue 6 years ago • 1 comments

您好, 我是360代码卫士团队的工作人员,在lemon项目中发现了服务器端请求伪造漏洞(ssrf),详细信息如下 CdnController.java文件中接收了http请求中的url参数 default 并在后续代码中调用了CdnUtils.java中的copyUrlToFile() default 函数中用url又创建了一个新的http连接,这样恶意攻击者可以通过控制url来造成ssrf攻击

QiAnXinCodeSafe avatar Oct 10 '18 06:10 QiAnXinCodeSafe

如何解决这种问题 ,我们现在veracode扫描也出现了这个问题

fangw1 avatar Sep 28 '22 15:09 fangw1