关键信息 漏洞描述 漏洞类型: SSRF (Server-Side Request Forgery) 受影响项目: MaxKey 项目的两个 API 存在 SSRF 漏洞。 发现者: Honor Cyber Security Lab 厂商: https://www.maxkey.org/ 源码地址: https://github.com/dromara/MaxKey 相关问题: https://github.com/dromara/MaxKey/issues/13038 漏洞分析 漏洞代码入口点: - - 关键代码片段: 问题描述: - 这些 API 接口通过 参数接收 URL,并直接发起 HTTP 请求到目标 URL,没有进行任何验证和过滤,导致典型的 SSRF 漏洞。 漏洞验证 POC (概念验证): 安全建议 对所有用于 HTTP 请求的用户输入进行验证和清理。 实施严格的访问控制策略,防止未经授权的外部请求。 考虑通过受控的中间代理转发外部请求,并设置适当的访问控制。