首页 > 其他分享 >代码审计——SSRF详解

代码审计——SSRF详解

时间:2023-06-25 18:02:31浏览次数:44  
标签:审计 请求 SSRF 获取 url URL 详解 服务器


01 漏洞描述

服务端请求伪造(SSRF)也成为跨站点端口入侵,是由于一些应用在向第三方主机请求资源时提供了URL并通过传递的URL来获取资源引起的,当这种功能没有对协议、网络可信便捷做好限制时,入侵者可利用这种缺陷来获取内网敏感数据、DOS内网服务器、读文件甚至于可获取内网服务器控制权限等。

代码审计——SSRF详解_服务端

02 审计要点

服务端请求伪造(SSRF)发生的根本原因是"服务器未限制"的情况下"用户可控的"失控请求资源行为。

1、参数是否用户可控?比如用户是否可以自定义输入URL来获取资源。

2、是否限制了请求范围?对URL获取资源的链接是否有白名单限制。

3、是否限制了请求协议?仅可以发起http请求还是file:///,gopher://,ftp:// 等均可使用?

03 漏洞特征

服务器端请求伪造是由服务器端发起的资源请求,根据URL从其他服务主机获取相关资源。若发起请求的URL可由入侵者来控制,那么就会导致服务端请求伪造。

Java

String url = request.getParameter("url");

PHP

如下是PHP程序中常见的一个接收客户端URL,并将服务器资源的URL资源返回到浏览器端的功能:

<?php
if (isset($_POST['url'])) 
{ 
$content = file_get_contents($_POST['url']); 
$filename ='./images/'.rand().';img1.jpg'; 
file_put_contents($filename, $content); 
echo $_POST['url']; 
$img = "<img src=\"".$filename."\"/>"; 
} 
echo $img; 
?>

这段代码使用file_get_contents函数从用户指定的url获取图片。当入侵者构造http://www.example.com/index.php?url=http://10.10.10.10:80时,即可用来判断内网服务器10.10.10.10是否开放了80端口。

04 漏洞案例

String url = request.getParameter("url"),

若存在此类代码,且服务端未限制了请求范围、请求协议,将导致SSRF漏洞。漏洞存在示例如下

代码审计——SSRF详解_服务端_02

代码审计——SSRF详解_服务端_03

除此之外,这边列举常见的一些容易出现SSRF漏洞的功能点如下:

1、 从远程服务器请求资源(upload from url 如discuz!;import & expost rss feed 如web blog;使用了xml引擎对象的地方 如wordpress xmlrpc.php)。

2、未公开的api实现以及其他扩展调用URL的功能:可以利用google语法加上这些关键字去寻找SSRF漏洞,一些的url中的关键字:share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain……

3、社交分享功能:获取超链接的标题等内容进行显示。

4、转码服务:通过url地址把原地址的网页内容调优使其适合收集屏幕浏览。

5、在线翻译:给网址翻译对应网页内容。

6、图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过url地址加载或下载图片。

7、图片/文章收藏功能:主要网站会取url地址中title以及文本的内容作为显示以求一个好的用户体验。

8、云服务商:它会远程执行一些命令来判断网络是否存活等,所以如果可以捕获相应信息,就可以进行SSRF测试。

9、网站采集,网站抓取的地方:一些网站会针对你输入的url进行一些信息采集工作。

10、数据库内置功能:数据库的比如mongodb的copyDatabase函数.

11、邮件系统:比如接收邮件服务器地址。

12、编码处理,属性信息处理,文件处理:比如ffpmg,ImageMagick,docx,pdf,xml处理器等。

代码审计时搜索“URLConnection”、“URL”等关键字,然后根据数据流的过程,逐步向上回溯,定位到用户可控参数。

05 修复方案

1、过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

2、 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。

3、限制请求的端口为http常用的端口,比如,80,443,8080,8090。

4、黑名单内网ip。避免应用被用来获取获取内网数据,入侵内网。

5、禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。

标签:审计,请求,SSRF,获取,url,URL,详解,服务器
From: https://blog.51cto.com/u_16170213/6547575

相关文章

  • 代码审计——命令执行详解
    01漏洞描述命令注入是指因为系统使用了可以执行命令的危险函数,但是调用这些函数的参数可控,并没有做过滤或过滤不严格,使入侵者可以通过构造特殊命令字符串的方式将数据提交至Web应用程序中,并利用该方式执行外部程序或系统命令实施入侵,来非法获取数据或者网络资源。简单来说,就是......
  • 代码审计——XXE详解
    01漏洞描述XXE(XMLExternalEntityInjection)是一种针对XML终端实施的入侵,漏洞产生的根本原因就是在XML1.0标准中引入了“entity”这个概念,且“entity”可以在预定义的文档中进行调用,XXE漏洞的利用就是通过实体的标识符访问本地或者远程内容。黑客想要实施这种入侵,需要在XML的payl......
  • 代码审计——XSS详解
    01漏洞描述跨站脚本入侵(CrossSiteScript)是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到入侵目的的漏洞。入侵者利用应用程序的动态展示数据功能,在html页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在html中的恶意代码会被执行,用户浏览器被入侵者控制,从而达到......
  • 代码审计——硬编码口令/弱口令详解
    01漏洞描述根据网站所使用的第三方组件,寻找特定的弱口令或默认口令进行登录。或在代码层面寻找写死的账号口令,尝试进行登录。02审计要点对前端源代码以及系统后台代码进行全文关键字检索,如key、pass、pwd、password,查看是否存在明文显示的账号密码。03漏洞案例源码中某前端js......
  • 关于Java中ArrayList类的toArray方法详解
    先上源码:publicObject[]toArray(){returnArrays.copyOf(elementData,size);}可以看到ArrayList类的toArray()方法调用了Arrays.copyOf(elementData,size)(其中的elementData是ArrayList类中用来存储对象的数组,size是数组大小),接下来进入其内部:publicsta......
  • Crontab 命令详解
    一. Crontab介绍      crontab命令的功能是在一定的时间间隔调度一些命令的执行。1.1/etc/crontab文件      在/etc目录下有一个crontab文件,这里存放有系统运行的一些调度程序。每个用户可以建立自己的调度crontab。      如:[root@dave~]#cat/etc/cro......
  • IPv4地址详解
    ip地址格式:<网络号,主机号>IPv4地址分类:A类:网络号8位,高位0B类:网络号16位,高位10C类:网络号24位,高位110D类:多播地址,高位1110E类:保留使用,高位1111特殊地址:主机号全0:表示网络本身0.0.0.0:表示本网络上的本主机主机号全1:表示本网络的广播地址255.255.255.255:表示整个网络的......
  • Linux usb 4. Device 详解【转】
    转自:https://blog.csdn.net/pwl999/article/details/120997525文章目录1.简介2.PlatformLayer2.1PlatformDevice2.2PlatformDriver3.UDC/GadgetLayer3.1GadgetBus3.2GadgetDevice3.2.1EndpointAlloc3.2.2EndPointAccess3.2.3UDCControl3.3GadgetDriver(Con......
  • Linux mem 2.8 Kfence 详解【转】
    转自:https://pwl999.blog.csdn.net/article/details/1244949581.原理介绍Kfence(KernelElectricFence)是Linux内核引入的一种低开销的内存错误检测机制,因为是低开销的所以它可以在运行的生产环境中开启,同样由于是低开销所以它的功能相比较KASAN会偏弱。Kfence的基本原......
  • 09-操作符详解
    @目录一.算数操作符二.移位操作符三.位操作符四.赋值操作符五.单目操作符一.算数操作符1.算数操作符分类:+-*/%除了%操作符之外,其他的几个操作符可以作用于整数和浮点数。对于/操作符如果两个操作数都为整数,执行整数除法。而只要有浮点数执行的就是......