服务器端请求伪造（SSRF）漏洞允许攻击者从易受攻击的 Web 应用程序的后端服务器发送精心构造的请求。攻击者通常利用 SSRF 攻击来定位位于防火墙后、无法从外部网络访问的内部系统。

当攻击者对后端应用程序发送的请求拥有全部或部分控制权时，就会出现 SSRF 漏洞。SSRF 并不限于 HTTP 协议。通常攻击者控制的输入是 HTTP，但后端请求可能使用其他协议。

您可以在来自 Snyk 的交互式课程中练习攻击易受攻击的应用程序并了解缓解措施。

Neo4j 是用于分析数据的图数据库。为了让用户能够轻松导入现有数据，我们必须提供本地或通过 HTTP 从网络加载文件（通常是 CSV 文件）的方法。该功能也使潜在的恶意用户能够操控初始请求——这正是 SSRF 的第一步。

鉴于 SSRF 是 OWASP Top 10 问题，OWASP 提供了一个全面的防御与缓解指南。

用例“用户应该能够从互联网上的任何位置加载数据”属于案例 2，该情况更难防御。

但通过深度防御的方式，这仍然是可行的。

Neo4j 会尽可能进行输入验证，这属于您的应用层防御。如果您在 Neo4j 之上构建自定义应用程序，限制上传数据和执行原始 Cypher 查询的能力仅对已认证用户开放是个好主意。但要实现深度防御，您还需要在网络层做更多工作。

检测和防御高度依赖于您的基础设施和网络环境。

除了上述外部网络层限制机制外，Neo4j 还提供了一种内部控制机制，允许用户提供要让 DBMS 阻断的 IP 地址范围。此控制通过必须添加到neo4j.conf的配置项激活，并需要重启 DBMS 才能生效。