服务器端请求伪造 (SSRF) 漏洞允许攻击者从易受攻击的 Web 应用程序的后端服务器发送精心制作的请求。攻击者通常使用 SSRF 攻击来攻击位于防火墙后面且无法从外部网络访问的内部系统。

当攻击者完全或部分控制后端应用程序发送的请求时，就会发生 SSRF 漏洞。SSRF 不限于 HTTP 协议。通常，攻击者控制的输入是 HTTP，但后端请求可以使用不同的协议。

您可以在 Snyk 的这个互动课程 中练习攻击易受攻击的应用程序并了解缓解措施。

Neo4j 是一个用于分析数据的图数据库。为了方便用户轻松导入现有数据，我们必须提供通过 http 在本地或从网络加载文件（通常是 CSV 文件）的方法。此功能也带来了潜在恶意用户操纵初始请求的能力 - SSRF 的第一步。

鉴于 SSRF 是 OWASP Top 10 问题之一，OWASP 提供了 关于预防和缓解的综合指南。

用例“用户应该能够从互联网上的任何位置加载数据”属于 案例 2，防御起来更为复杂。

但通过纵深防御方法，这是可能的。

Neo4j 尽可能地进行输入验证，这是您的**应用程序层**防御。如果您在 Neo4j 之上构建自定义应用程序，最好将上传数据和运行原始 Cypher 查询的能力限制为已认证的用户。但为了确保 纵深防御，您应该在**网络层**做更多工作。

检测和预防高度依赖于您的基础设施和网络环境。

除了上面列出的外部网络级限制机制外，Neo4j 还具有一个内部控制机制，允许用户为数据库管理系统提供要阻止的 IP 地址范围。此控制通过必须添加到 neo4j.conf 的配置设置激活，并且需要重新启动数据库管理系统才能应用。