server-side request forgery
PulseAugur coverage of server-side request forgery — every cluster mentioning server-side request forgery across labs, papers, and developer communities, ranked by signal.
3 天有情绪数据
-
LLM安全工具LLM Guard被发现存在关键SSRF漏洞
在LLM Guard(一款旨在保护LLM应用的开源工具)中发现了一个服务器端请求伪造(SSRF)漏洞。该漏洞由Correctover CCS发现,允许攻击者利用该工具,通过控制LLM输出访问任意内部URL,从而探测内部网络。受影响的仓库似乎无人维护,导致该问题被公开披露。
-
新工具审计 MCP 服务器安全,发现普遍漏洞
一款名为 mcp-audit 的新开源工具已发布,旨在帮助用户识别其 MCP (模型中心编程) 服务器配置中的安全漏洞和效率低下问题。该工具由 alih552 开发,用于扫描本地 MCP 设置中是否存在诸如未经验证的远程服务器、配置文件中的明文密钥、未固定的可执行文件版本、过度的文件系统访问以及过多的令牌使用等问题。对公共 MCP 服务器的分析显示存在重大的安全风险,其中 41% 缺乏身份验证,36.7% 容易受到服务器端请求伪造的攻击。
-
AI代理易受IP地址规避的SSRF攻击
依赖简单字符串匹配来阻止访问内部云元数据端点(如 http://169.254.169.254/)的AI代理存在安全漏洞。攻击者可以通过使用IP地址的其他表示形式,如十六进制或整数格式,或利用重定向机制来绕过这些防护。更稳健的方法包括通过操作系统解析器规范化IP地址,并采用默认拒绝的允许列表策略,同时在重定向后重新验证URL。
-
URL 获取工具的 SSRF 防护清单
本文档概述了一份用于保护 URL 获取工具中服务器端请求伪造 (SSRF) 漏洞的清单,特别是在机器配置协议 (MCP) 环境中。它强调获取服务器充当网络出口点,在发出请求之前需要强大的安全措施。关键建议包括解析 URL、解析 DNS、对 IP 地址进行分类,以及默认拒绝访问敏感目标,如元数据服务、环回接口和私有网络。