漏洞总结 漏洞概述 Axios 库中存在一个 SSRF(服务器端请求伪造)漏洞。该漏洞源于 (不代理主机名)列表的主机名规范化逻辑存在缺陷。攻击者可以通过构造特殊的主机名(例如带有尾随点的 或特定格式的 IPv6 地址)来绕过 黑名单,导致请求被错误地发送到代理服务器,从而可能访问内网资源。 影响范围 修复方案 修复主要在 中增加了 函数,用于规范化主机名(例如去除前导点、处理 IPv6 括号),并在 函数中正确应用此逻辑,确保在匹配 列表时主机名格式一致。同时, 中的 函数也进行了相应调整以配合此逻辑。 POC/测试代码 以下是截图中 包含的测试用例(POC),展示了漏洞利用场景: