在编写HTTP代理时，我需要考虑哪些安全问题？

Question

我的公司已经编写了一个HTTP代理，它将原始网站页面翻译成它。按照Google，Bing等提供的网络翻译服务思考一些问题。

我正在进行服务和关联网站的安全测试。当然，还有一百万次攻击或滥用网站，我还没有想到。此外，我不希望我们的网站成为允许匿名攻击第三方网站的媒介。由于这个网站从开放当天就会受到很多人的关注，确保我们的服务和我们服务所访问的网站的安全性对我很重要。

任何人都可以指向任何在线或已发布的安全测试信息。例如需要担心的良好攻击列表，用于创建网站/代理/等的安全最佳实践。我对安全问题有很好的总体理解（XSS，CSRF，SQL注入等）。我更多地寻找资源来帮助我创建安全测试测试的具体细节。

任何指针？

看：

• https://www.owasp.org/index.php/Top_10
• https://stackoverflow.com/questions/1267284/common-website-attack-methods-detection-and-recovery

Answer 1

的翻译服务最明显的问题：

• 确保代理不能访问内部网络。当你觉得很明显，但在第一个版本中大部分被遗忘。即用户不能请求翻译http://127.0.0.1等。你可以想象这可能会导致一些严重的问题。一个聪明的攻击将是http://127.0.0.1/trace.axd这将暴露超过必要的，因为它认为请求来自本地主机。如果您在该系统和任何其他系统之间也有任何种类的基于IP的限制，您也可能需要小心。
• XSS是一个显而易见的问题，确保将翻译交付给单独域中的用户（如Google Translate）。这很关键，甚至不认为你可以成功过滤XSS攻击。

除了所有其他常见的网络安全问题，还有很多事情要做。 OWASP是开始进行自动化测试的最佳资源，有免费工具，如Netsparker和Skipfish