前言:
公司一项目上线前,甲方爸爸要求进行代码安全扫描,且还是使用静态代码的扫描模式,出现了很多让人无语的安全漏洞,Foritfy这个工具真的是一个LJ工具,甲方爸爸外包的安全扫描公司也是NB,那么多误报,瞎报,竟然理直气壮... ... ,程序猿的头发都是被这些人给薅的。
本次说明下Server-Side Request Forgery的修复过程,记录下。
一、漏洞说明
攻击者可以影响应用程序服务器建立的网络连接时,将会发生 Server-Side Request Forgery。网络连接源自于应用程序服务器内部 IP,因此攻击者将可以使用此连接来避开网络控制,并扫描或攻击没有以其他方式暴露的内部资源。
攻击者能否劫持网络连接取决于他可以控制的 U RI 的特定部分以及用于建立连接的库。例如,控制 U RI 方案将使攻击者可以使用不同于 http 或 https 的协议,类似于下面这样:
- up://
- ldap://
- jar://
- gopher://
- m ailto://
- ssh2://
- telnet://
- expect://
攻击者将可以利用劫持的此网络连接执行下列攻击:
- 对内联网资源进行端口扫描。
- 避开防火墙。
- 攻击运行于应用程序服务器或内联网上易受攻击的程序。
- 使用 Injection 攻击或 CSRF 攻击内部/外部 W eb 应用程序。
- 使用 file:// 方案访问本地文件。
- 在 W indows 系统上,file:// 方案和 U N C 路径可以允许攻击者扫描和访问内部共享。
- 执行 D N S 缓存中毒攻击。
二、官方修复建议
请勿基于用户控制的数据建立网络连接,并要确保请求发送给预期的目的地。如果需要提供用户数据来构建目的地URI,请采用间接方法:例如创建一个合法资源名的列表,用户只能选择其中的内容。通过这种方法,就不能直接使用用户提供的输入来指定资源名称。
但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。因此,在这种情况下,程序员通常会采用执行拒绝列表的办法。在输入之前,拒绝列表会有选择地拒绝或避免潜在的危险字符。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。
此外,如果需要,还要确保用户输入仅用于在目标系统上指定资源,但 URI 方案、主机和端口由应用程序控制。这样就可以大大减小攻击者能够造成的损害。
PS:说的头头是道,怎么处理啥都没有说。
三、修复方案
项目中主要是使用SpringBoot作为核心框架进行开发,其中调用远程服务使用的是RestTemplate,很多时候调用远程服务需要传入参数,参数有些是需要前台页面传入,如果是使用RestTemplate的postForObject/PostForList模式的,其中url不会由前台传入参数进行拼接的就没有SSRF漏洞,只要是需要进行参数在URI上面拼接的都会产生本漏洞。
按照官方修复说明,可以通过url进行处理,主要是URI的协议判断,URI包含超过一个的http/https,URI的路径白名单判断。
private Boolean validateUriSsrf(String uri) {
if (!uri.startsWith("http")) {
return false;
}
// 禁用协议校验
String regexProtocol = "file:///|gopher://|ftp://|ftps://|jar://|mailto://ssh2://|telent://|expect://";
Pattern pPro = Pattern.compile(regexProtocol);
Matcher mPro = pPro.matcher(uri);
int notAllowCount = 0;
while (mPro.find()) {
notAllowCount ++;
}
if (notAllowCount > 0) {
return false;
}
//禁止多个http<懒人写法>
String regex = "http://|https://";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(url);
int httpCount = 0;
while (matcher.find()) {
httpCount++;
}
//httpCount>1说明存在风险
if (httpCount > 1) {
return false;
}
// 白名单
List<String> whiteList = new ArrayList<>();
whiteList.add("https://api.baidu.com");
whiteList.add("https://qyapi.weixin.qq.com");
if (whiteList.contains(uri)) {
return true;
}
//此处测试全部返回true,防止出现其他未在白名单域名
return true;
}
此处是url过滤,可以在原来RestTemplate基础上进行封装,然后在原来的getForObject/getForList/postForObject/postForList外,新增对应的uri检测的方法,如果验证uri不通过,直接抛出异常。