SSRF

概述

SSRF(Server-Side Request Forgery:服務(wù)器端請(qǐng)求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請(qǐng)求的一個(gè)安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無(wú)法訪問(wèn)的內(nèi)部系統(tǒng)。通常發(fā)生在圖片轉(zhuǎn)儲(chǔ)，文本加載等地方。

原理

由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒(méi)有對(duì)目標(biāo)地址做過(guò)濾與限制。比如從指定URL地址獲取網(wǎng)頁(yè)文本內(nèi)容，加載指定地址的圖片，下載等等。利用的是服務(wù)端的請(qǐng)求偽造。SSRF是利用存在缺陷的web應(yīng)用作為代理攻擊遠(yuǎn)程和本地的服務(wù)器。

漏洞場(chǎng)景

分享：通過(guò)URL地址分享網(wǎng)頁(yè)內(nèi)容

轉(zhuǎn)碼服務(wù)

在線翻譯

圖片加載與下載：通過(guò)URL地址加載或下載圖片

圖片、文章收藏功能

未公開(kāi)的api實(shí)現(xiàn)以及其他調(diào)用URL的功能

從URL關(guān)鍵字中尋找

漏洞利用

可以對(duì)外網(wǎng)、內(nèi)網(wǎng)、本地進(jìn)行端口掃描，某些情況下端口的Banner會(huì)回顯出來(lái)（比如3306的）；

攻擊運(yùn)行在內(nèi)網(wǎng)或本地的有漏洞程序（比如溢出）；

可以對(duì)內(nèi)網(wǎng)Web應(yīng)用進(jìn)行指紋識(shí)別，原理是通過(guò)請(qǐng)求默認(rèn)的文件得到特定的指紋

攻擊內(nèi)網(wǎng)或外網(wǎng)有漏洞的Web應(yīng)用

使用file協(xié)議，dict協(xié)議，gropher協(xié)議，ftp協(xié)議等讀取本地文件

通過(guò)請(qǐng)其大文件進(jìn)行Dos攻擊

加載外部的惡意木馬文件執(zhí)行

加載內(nèi)部的敏感文件程序自身的敏感文件

訪問(wèn)內(nèi)網(wǎng)進(jìn)行內(nèi)網(wǎng)端口的掃描、獲取內(nèi)網(wǎng)設(shè)備信息、枚舉內(nèi)網(wǎng)服務(wù)等。

示例

@

對(duì)于一個(gè) url 的訪問(wèn)實(shí)際上是以 @符后為準(zhǔn)的，比如說(shuō) xxxx.com@10.10.10.10，則實(shí)際上訪問(wèn)的是 10.10.10.10 這個(gè)地址。

http://abc@127.0.0.1

同

http://127.0.0.1

添加端口號(hào)

http://127.0.0.1:8080

短地址

http://dwz.cn/11SMa

指向任意ip的域名：xip.io

例如 10.10.10.10.xip.io 會(huì)被解析成 10.10.10.10，詳細(xì)介紹可以通過(guò) xip.io 這個(gè)網(wǎng)站來(lái)查看。

<pre> <strong> 10.0.0.1</strong>.xip.io resolves to 10.0.0.1www.<strong>10.0.0.1</strong>.xip.io resolves to 10.0.0.1mysite.<strong>10.0.0.1</strong>.xip.io resolves to 10.0.0.1foo.bar.<strong>10.0.0.1</strong>.xip.io resolves to 10.0.0.1

ip地址轉(zhuǎn)換成進(jìn)制來(lái)訪問(wèn)
將 ip 轉(zhuǎn)換為八進(jìn)制十進(jìn)制十六進(jìn)制這種，同樣也可以正常訪問(wèn)

例如將 10.10.10.10 轉(zhuǎn)換為十進(jìn)制是 168430090，在瀏覽器訪問(wèn) http 😕/168430090 即訪問(wèn) 10.10.10.10

115.239.210.26 ＝ 16373751032

代碼審計(jì)

<?phpif (isset($_GET['url'])) {$content = file_get_contents($_GET['url']); #echo $_GET['url'];$filename = ''.rand().'img-tasfa.jpg';$fopen = fopen($filename, 'wb ');#echo $filename;file_put_contents($filename, $content);#echo $_GET['url'].""; $img = "<img src=\"".$filename."\"/>";} echo $img; ?>

規(guī)避

使用白名單（黑名單），限制HOST。避免應(yīng)用被用來(lái)獲取獲取內(nèi)網(wǎng)數(shù)據(jù)，攻擊內(nèi)網(wǎng)。

對(duì)Response信息進(jìn)行識(shí)別，驗(yàn)證遠(yuǎn)程服務(wù)器對(duì)請(qǐng)求的響應(yīng)是比較容易的方法。如果web應(yīng)用是去獲取某一種類型的文件。那么在把返回結(jié)果展示給用戶之前先驗(yàn)證返回的信息是否符合標(biāo)準(zhǔn)。

需要使用互聯(lián)網(wǎng)資源（比如貼吧使用網(wǎng)絡(luò)圖片）而無(wú)法使用白名單的情況：禁用跳轉(zhuǎn)；然后通過(guò)域名獲取目標(biāo)ip，并過(guò)濾內(nèi)部ip；最后識(shí)別返回的內(nèi)容是否與假定內(nèi)容一致

禁用重定向。防止默認(rèn)跟隨重定向后，繼續(xù)請(qǐng)求內(nèi)網(wǎng)地址

統(tǒng)一錯(cuò)誤信息，避免用戶可以根據(jù)錯(cuò)誤信息來(lái)判斷遠(yuǎn)端服務(wù)器的端口狀態(tài)。

限制請(qǐng)求的端口為http常用的端口，比如，80,443,8080,8090。

禁用不需要的協(xié)議。僅僅允許http和https請(qǐng)求。可以防止類似于file:///,gopher://,ftp:// 等引起的問(wèn)題。

示例

public static boolean ssrfCheck(String url) {try {URL urlObj = new URL(url);// 協(xié)議校驗(yàn), 防止偽協(xié)議問(wèn)題if(!urlObj.getProtocol().equals("https") && !urlObj.getProtocol().equals("http")) {return false;}// Host 校驗(yàn)String domain = urlObj.getHost();InetAddress host = InetAddress.getByName(domain);if(host.isSiteLocalAddress() || host.isLoopbackAddress()) {return false;}return true;} catch (MalformedURLException e) {return false;} catch (UnknownHostException e) {return false;} }

參考文章

• SSRF 漏洞記錄
• SSRF詳解
• SSRF原理及攻防解析(簡(jiǎn)單明了)

總結(jié)

以上是生活随笔為你收集整理的Web安全——服务器端请求伪造（SSRF）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。