「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解

发布时间:2024年01月17日

1. 简介

服务器端请求伪造(Server-Side Request Forgery,简称SSRF)是一种安全漏洞,通常出现在Web应用程序中。攻击者通过构造恶意请求,利用服务器端应用程序向攻击者选择的任意域发出HTTP请求,以便将服务器内部的资源暴露给外部,可能导致敏感数据泄露。

2. 原理

SSRF漏洞的原理基于应用程序对用户输入数据的不当信任。当应用程序允许用户控制某些请求的目标,但未正确验证和限制用户输入时,攻击者可以构造特殊的请求,让服务器去访问不应该被公开访问的资源。

在这里插入图片描述

Note:服务器提供了从其他服务器应用获取数据的功能,未对用户可控的目标地址进行过滤与限制,所以存在缺陷的Web应用就会成为攻击远程和本地服务器的代理。

3. SSRF 与CSRF的区别与联系

SSRF(Server-Side Request Forgery)和CSRF(Cross-Site Request Forgery)都是Web安全领域中的常见攻击手段。尽管它们在攻击方式和目的上有一定的相似之处,但它们之间还是存在明显的区别。

Note:关于CSRF的详细介绍请参阅《「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解

一、区别:

  1. 攻击方向:
    SSRF:攻击者利用受信任的服务器发起请求,通常针对内部服务或私有API。
    CSRF:攻击者伪造受害者的身份,使其在不知情的情况下发起请求,针对的是受害者的站点。

  2. 攻击目标:
    SSRF:攻击者旨在访问受限制的内部资源(从外网无法访问),如配置文件、数据库等。
    CSRF:攻击者旨在欺骗受害者执行恶意操作,如转账、登录等。

  3. 攻击手段:
    SSRF:利用服务器端的漏洞,结合特殊构造的请求,突破访问限制。
    CSRF:利用受害者在浏览恶意网站时,对其进行跨站请求伪造,达到攻击目的。

  4. 危害程度:
    SSRF:可能导致敏感数据泄露、服务端请求伪造等问题。
    CSRF:可能导致受害者账户被盗、资金损失等问题。

二、联系:

  1. 都属于Web安全领域中的请求伪造攻击。

  2. 都利用了服务器或客户端的信任关系,实施攻击。

  3. 都需要对Web应用程序进行一定的安全加固和防护。

总之,SSRF和CSRF都是Web安全领域中较为严重的攻击手段。对于开发者来说,了解它们的原理和特点,才能更好地防范和应对这些攻击,保障网站和用户的安全。在实际项目中,应加强对用户输入的验证和过滤、限制请求目标、开启HTTP头限制、加强日志监控等安全措施。同时,定期进行安全审计,发现并修复潜在的安全漏洞。

4. 攻击思路

SSRF漏洞可以从以下两个方向切入:

  1. 探索Web应用程序功能

    • 分享:通过URL地址分享网页内容;
    • 图片、文章收藏功能;
    • 图片加载与下载:通过URL地址加载或下载图片;
    • 在线翻译:通过URL地址翻译对应文本的内容,比如有道、百度翻译、谷歌翻译;
    • 转码服务:通过URL地址把原地址的网页内容优化为手机屏幕浏览。
    • 未公开的API实现;
    • 其他调用URL的功能。
  2. 探索URL关键字
    主要关键字有:share、url、display、domain、wap、src、source、target。

5. 防御手段

  • 对服务器访问的URL进行限制:比如检查IP是否为内网IP,仅允许对某些特定域名的访问;
  • 限制重定向;
  • 限制请求的端口为Http常用端口:如80,8080,443,8443;
  • 禁用不需要的协议(如ftp,file协议),仅允许http(s)请求。

    Note:可以通过file协议读取本地敏感数据文件。

6. 攻击案例:针对本地服务器的攻击

6.1. 环境介绍

实验室环境为支持库存检查功能的购物网站,存在SSRF漏洞,可以利用漏洞来使用管理员权限删除普通用户。环境地址:https://portswigger.net/web-security/ssrf/lab-basic-ssrf-against-localhost

6.2. 攻击细节

当用户查看项目的库存状态时,其浏览器会发出以下请求:

POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=http://stock.weliketoshop.net:8080/product/stock/check%3FproductId%3D6%26storeId%3D1

这导致服务器向指定的URL发出请求,检索库存状态,并将其返回给用户。
在这里插入图片描述

在此示例中,攻击者可以修改请求以指定服务器本地的URL:

POST /product/stock HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 118

stockApi=http://localhost/admin

服务器获取/admin请求返回的内容并将其返回给用户。攻击者此时就获取了在外网不能直接访问的内部服务器的敏感内容。
在这里插入图片描述
从上图可以看到通过Burp Suite将检查库存的URL篡改为http://localhost/admin后,服务器返回了敏感信息,通过敏感信息可以看到删除用户的接口/admin/delete?username=wiener,如果再将URL篡改为此接口地址就可以删除用户wiener。

Note:因为对/admin URL的请求来自本地机器,所以会绕过正常的访问控制。应用程序授予对管理功能的完全访问权限,因为请求来自受信任的位置。


前期回顾
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
「 典型安全漏洞系列 」02.SQL注入详解
「 典型安全漏洞系列 」01.跨站脚本攻击XSS详解

7. 参考

[1] https://portswigger.net/web-security/ssrf

文章来源:https://blog.csdn.net/u013129300/article/details/135576875
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。