本文主要说明Java的SSRF的漏洞代码、利用方式、如何修复。
1. 漏洞简介
SSRF(Server-side Request Forge, 服务端请求伪造)。
由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
2. 漏洞分析利用
2.1 网络请求支持的协议
由于Java没有php的cURL,所以Java SSRF支持的协议,不能像php使用curl -V查看。
Java网络请求支持的协议可通过下面几种方法检测:
代码中遍历协议
官方文档中查看
import sun.net.www.protocol查看
从import sun.net.www.protocol可以看到,支持以下协议
file ftp mailto http https jar netdoc
2.2 发起网络请求的类
当然,SSRF是由发起网络请求的方法造成。所以先整理Java能发起网络请求的类。
HttpClient
Request (对HttpClient封装后的类)
HttpURLConnection
URLConnection
URL
okhttp
如果发起网络请求的类是带HTTP开头,那只支持HTTP、HTTPS协议。
比如:
HttpURLConnection HttpClient Request okhttp
所以,如果用以下类的方法发起请求,则支持sun.net.www.protocol所有协议URLConnection URL 注意,Request类对HttpClient进行了封装。类似Python的requests库。
用法及其简单,一行代码就可以获取网页内容。Request.Get(url).execute().returnContent().toString();
2.3 漏洞代码
使用URL类的openStream发起网络请求造成的SSRF(Java Web代码)。
代码功能是远程下载文件并下载。
import org.springframework.boot.*;
import org.springframework.boot.autoconfigure.*;
import org.springframework.stereotype.*;
import org.springframework.web.bind.annotation.*;
import java.io.InputStream;
import java.io.OutputStream;
import com.google.common.io.Files;
import org.apache.commons.lang.StringUtils;
import java.net.URL;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@Controller
@EnableAutoConfiguration
public class SecController {
@RequestMapping("/")
@ResponseBody
String home() {
return "Hello World!";
}
@RequestMapping("/download")
@ResponseBody
public void downLoadImg(HttpServletRequest request, HttpServletResponse response) throws IOException