SSRF漏洞修复方案

最新推荐文章于 2024-03-09 00:12:24 发布
最新推荐文章于 2024-03-09 00:12:24 发布
阅读量5.8k 收藏 13
点赞数 1
分类专栏: Web安全 文章标签: java

SSRF在服务端代码中属于常见的漏洞,关于SSRF漏洞的介绍及攻击方式在网络上都有详细的资料,这两篇就写的非常详细了:

SSRF安全指北 - 博客 - 腾讯安全应急响应中心

SSRF Tips | xl7dev

目前互联网企业中的项目,主要以Java项目为主,我们知道在Java语言下,SSRF漏洞的利用场景一般比较有限,很少能通过该漏洞进行文件读取等操作,一般来说能进行漏洞利用的场景如下:

  1. 通过访问内网地址对内网服务进行探测、盲打
  2. CRLF注入
  3. 利用该接口作为DDOS攻击的一个发起点(可限制访问频率来解决,本文暂不讨论)

因此本文只针对内网探测类的SSRF攻击类型来进行防御修复讨论,由于在不同的业务场景下,制定一套相对通用的SSRF修复方案时是存在一定困难的,一般会产生两种不同的场景:

  1. 服务器需要访问的资源可以限制在一定范围之内,比如我们自己的oss服务器域名
  2. 服务器需要访问的资源无法设限,必须要访问任意的网络资源

我们根据不同的业务场景,设定了3种修复方案,其中前两种分别对应以上两个业务场景,第三种作为最终的解决方案,但实施起来比较复杂,目前无法实现,仅作为探索。

修复方案代码仅基于Java编写

1. 可对域名添加白名单的修复方案

/*
1. ssrf可增加白名单的修复方案,检查域名非法字符,白名单限制二级域名
 */
public boolean ssrfFilterSecondaryDomain(String externalUrl) throws MalformedURLException {
 
    URL url = new URL(externalUrl);
    String domain = url.getHost();
    if (!domainFilter(domain)){
        return false;
    }
    String secondaryDomain = getSecondaryDomain(domain);
 
    List<String> domainWhiteList = new ArrayList<>();
    domainWhiteList.add("yuanfudao.com");
    domainWhiteList.add("fbcontent.cn");
 
    for (Iterator<String> it = domainWhiteList.iterator(); it.hasNext();) {
        String value = it.next();
        if(secondaryDomain.equals(value)){
            return true;
        }
    }
    return false;
}
 
private static String getSecondaryDomain(String domain) {
    String[] domains = domain.split("\\.");
    return domains[domains.length - 2] + "." + domains[domains.length - 1];
}
 
private static boolean domainFilter(String domain) {
    String regex = "[^a-zA-Z0-9\\.-]";
    Pattern pattern = Pattern.compile(regex);
    Matcher matcher = pattern.matcher(domain);
    return !matcher.find();
}

这种场景修复起来较为简单,把服务器需要访问的资源限制在一定范围之内即可。

对url中host部分先进行域名有效字符的校验,防止使用反斜线等特殊字符进行绕过;再基于白名单对二级域名进行校验。

例如上述代码提供的ssrfFilter方法就可以对url进行一次过滤,符合规则返回true,可以使服务器该url进行访问,反之则不能访问。

其中的domainWhiteList部分可以由开发人员根据业务需求指定。

2. 无法添加白名单的修复方案

/*
2. 无法添加白名单的修复方案
    检测非法字符CRLF
    ->通过域名解析ip
    ->判断ip是否为内网地址
    ->固定url中的host部分为该ip,同时设置headers中的host为域名,防止某些站点检测host不为域名时不能访问
    ->请求不跟随302跳转
 可解决大部分ssrf问题
 */
public URLConnection httpSecureAccess(String externalUrl) throws IOException {
 
    URL exurl = new URL(externalUrl);
    String host = exurl.getHost();
    String protocol = exurl.getProtocol();
    // 判断是否存在非法特殊字符
    String decode = URLDecoder.decode(externalUrl, "utf-8");
    if (decode.contains("\r\n")){
        //System.out.println("Illegal characters CRLF error");
        throw new IllegalArgumentException();
    }
    // 判断ip是否为内网,目前只判断ipv4
    InetAddress[] addresses = InetAddress.getAllByName(host);
    List<String> ips = new ArrayList<>();
    for (int i = 0; i < addresses.length; i++) {
        if(addresses[i] instanceof Inet4Address) {
            if (ipIsInner(addresses[i].getHostAddress())) {
                //System.out.println("Illegal address error");
                throw new IllegalArgumentException();
            } else {
                ips.add(addresses[i].getHostAddress());
            }
        }
    }
    // 若该域名对应多个ip则随机取值,同时重新拼接URL,设置host为域名,同时不跟随302跳转
    Collections.shuffle(ips);
    String ip = ips.get(0);
    String newurl = externalUrl.replaceFirst(host, ip);
    System.setProperty("sun.net.http.allowRestrictedHeaders", "true");
    URL url = new URL(newurl);
    // http和https请求分别处理,其他协议直接拒绝
    if (protocol.equals("https")) {
 
        HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
        connection.setInstanceFollowRedirects(false);
        connection.setRequestMethod("GET");
        connection.setRequestProperty("Host", host);
        connection.setHostnameVerifier(new TrustAnyHostnameVerifier());
        return connection;
    }
    else if (protocol.equals("http")) {
 
        HttpURLConnection connection = (HttpURLConnection) url.openConnection();
        connection.setInstanceFollowRedirects(false);
        connection.setRequestMethod("GET");
        connection.setRequestProperty("Host", host);
        return connection;
    }
    else {
        //System.out.println("Illegal protocol error");
        throw new IllegalArgumentException();
    }
}
 
static class TrustAnyHostnameVerifier implements HostnameVerifier {
    public boolean verify(String hostname, SSLSession session){
        return true;
    }
}
 
static List<Pattern> ipFilterRegexList = new ArrayList<>();
static {
 
    Set<String> ipFilter = new HashSet<String>();
    ipFilter.add("^10\\.(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])"
            + "\\.(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])" + "\\.(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])$");
    ipFilter.add("^172\\.(1[6789]|2[0-9]|3[01])\\" + ".(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])\\"
            + ".(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])$");
    ipFilter.add("^192\\.168\\.(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])\\"
            + ".(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[0-9])$");
    ipFilter.add("127.0.0.1");
    ipFilter.add("0.0.0.0");
    ipFilter.add("localhost");
 
    for (String reg : ipFilter) {
        ipFilterRegexList.add(Pattern.compile(reg));
    }
}
 
public static boolean ipIsInner(String ip) {
    for (Pattern reg : ipFilterRegexList) {
        Matcher matcher = reg.matcher(ip);
        if (matcher.find()){
            return true;
        }
    }
    return false;
}

由于业务需求导致无法添加域名的白名单时,可从多个角度对url进行限制,尽量防止攻击的发生。

观察公司业务发现http请求的类大都使用的是HttpURLConnection,因此上述代码也以该类作为演示,其他类具体使用到的方法可能略有不同,但修复思路是相同的。

这种情况下的修复思路如下:

  1. 限制访问方法只能使用GET
  2. 限制访问的协议只能是http或https,其他协议直接拒绝访问
  3. 检测特殊字符CRLF,存在则直接拒绝访问
  4. 设置setInstanceFollowRedirects属性为false,禁止跟随302跳转;禁止跳转的目的是防止攻击者利用跳转访问内网,从而绕过之后的黑名单校验
  5. 解析url中域名对应的ipv4地址:
    1. 该地址先过黑名单校验,不允许是内网地址,利用正则表达式对ip进行过滤
    2. 使用ip对url中的域名进行替换,访问资源时都以ip进行访问;这样可以防御DNS Rebinding类的攻击

使用ip替换域名这一操作会导致访问资源出现一些问题,比如某些站点会对headers中的host进行校验,如果host不是域名则访问会被拒绝;以及https证书校验的过程也会受阻。

以上问题的解决方案:

  1. 使用setRequestProperty方法设置host头为域名,这样使用ip访问资源则不会受阻;但必须先设置System.setProperty("sun.net.http.allowRestrictedHeaders", "true"),才可以使host字段被修改,否则不能生效,上述代码中都有所体现
  2. https请求时使用setHostnameVerifier方法直接信任该域名的证书(这样直接信任证书不确定会不会带来其他安全问题,后续再进行研究讨论)

上述代码提供的httpSecureAccess方法,输入为url,如果该url符合规范则返回一个URLConnection类的connection连接,开发人员可以直接使用这个connection进行资源读取等操作;如果url不符合规范则直接抛出异常。

这部分修复方案可以保证绝大多数情况下对SSRF进行防御,但由于对http请求进行了较多的修改,可能会产生其他问题,因此还要经过实践验证。

3. 更安全的修复方案

/*
3. 更安全的修复方案,通过代理服务器访问外网资源,且该服务器对内网隔离。可更彻底的解决ssrf问题,但修复成本较高。
 */
public HttpURLConnection httpProxyAccess(String externalUrl) throws IOException {
 
    String proxyHost = "10.x.x.x";
    int proxyPort = 8080;
 
    String proxyUser = "";
    String proxyPass = "";
 
    InetSocketAddress isa = new InetSocketAddress(proxyHost, proxyPort);
    Proxy proxy = new Proxy(Proxy.Type.HTTP, isa);
    Authenticator.setDefault(new CustomAuthenticator(proxyUser, proxyPass));
 
    URL url = new URL(externalUrl);
    HttpURLConnection connection = (HttpURLConnection)url.openConnection(proxy);
    connection.setInstanceFollowRedirects(false);
    connection.setRequestMethod("GET");
    return connection;
}
 
static class CustomAuthenticator extends Authenticator {
    private String user = "";
    private String password = "";
 
    public CustomAuthenticator(String user, String password) {
        this.user = user;
        this.password = password;
    }
 
    protected PasswordAuthentication getPasswordAuthentication() {
        return new PasswordAuthentication(user, password.toCharArray());
    }
}

最安全的修复方案是增加服务器集群,专门用来对需要访问资源的服务进行代理。

可分为内网集群和外网集群, 例如需要访问外网资源的服务走外网的代理集群,且该集群对办公内网隔离。

这样一来所有访问资源的请求都由专用的服务器集群发出,避免了内网探测的风险;一旦有利用SSRF进行任意文件读取的场景,也不会对生产环境的服务器本身造成危害。

但是该方案操作难度较大,我们现在的情况还不具备设置服务器集群作为代理的条件,因此仅作为一种思路进行讨论。

晓川吖
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssrf漏洞修复(ssrf漏洞修复方式)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 3730
区块链去中介化、共识机制、不可篡改的特点,增加数据流转效率,减少成本,实时监控资产的真实情况,保证交易链条各方机构对底层资产的信任问题。在区块链行业,地址追溯是一个相对敏感的话题。当然,地址追溯的方法并不限于以上提到的几点,而能够突破交易所的黑客也必然会使用各种反追溯的手段来应对,包括利用去中心化交易所套现,利用混币/搅拌机等技术手段阻碍追溯等。具体方法是通过区块链浏览器输入可疑地址,查询该地址的交易,从交易结果列表中寻找出大额的资金流向,按照新的流向打开每层地址,逐层深入查询,即可得出大额资金的流向图。
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
服务端请求伪造(SSRF)及漏洞复现
weixin_58954236的博客
09-05 1754
服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。
SSRF漏洞原理及其修复方式和加固方式
最新发布
网络战争的博客
03-09 514
1. 输入验证和过滤:服务器端应用程序需要对从用户输入中获取的URL进行充分验证和过滤,确保只接受合法的URL。总之,修复和加固SSRF漏洞需要综合使用输入验证、过滤、限制协议和端口、内网访问限制等技术手段,并采取更新组件、强制访问控制、安全审计和监控等措施来提高应用程序的安全性。SSRF漏洞的原理是,服务器端应用程序未对从用户输入中获取的URL进行充分验证和过滤,导致攻击者可以构造恶意的URL,使服务器端应用程序发送请求到攻击者指定的目标。可以使用白名单机制,只允许特定的协议和端口。
ssrf漏洞复现
m0_55631425的博客
03-27 2693
漏洞复现 cd /usr/local ls cd vulhub-master cd weblogic cd ssrf docker-compose up -d ifconfig查询下本机IP 访问http://192.168.106.139:7001/uddiexplorer/SearchPublicRegistries.jsp ,出现以下界面 这里可能会遇到访问不上的情况,发现物理机无法ping通虚拟机,虚拟机能ping通物理机 只需给VMnet8的虚拟网卡禁用再启用就行 历经千辛万苦终于进来了 1、
了解SSRF漏洞,这一篇就足够了......
2201_75571291的博客
06-13 2714
SSRF(Server-Side Request Forgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。​由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。
SSRF漏洞(原理、挖掘点、漏洞利用、修复建议)
zxcvbnmasdflzl的博客
07-19 1476
SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。
漏洞修复-服务端请求伪造(SSRF)
路辉的博客
03-31 1746
点击上方名片关注我,为你带来更多踩坑案例- 什么是SSRF-SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,因为服务器请求天然可以穿越防火墙。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做正...
SSRF修复
m0_67402118的博客
06-22 786
SSRF的修复比较复杂,需要根据业务实际场景来采取不同的方案,例如前面说到的python中不同url库对url的解析就不一致,所以对于有条件的公司,建立一个代理集群是比较可靠的方案,将类似请求外部url的需求整理出来,分为纯外网集群和内网集群进行代理请求。 如果需要从代码层面来修复的话,需要注意一下几点: 1. 去除url中的特殊字符 2. 判断是否属于内网ip 3. 如果是域名的话,将url中的域名改为ip 4. 请求的url为3中返回的url 5. 请求时设置host header为ip 6. 不跟
SSRF漏洞JAVA解决方案
柳落青
09-16 3448
SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
104-web漏洞挖掘之SSRF漏洞1
08-03
1.禁用不需要的协议 2.统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3.禁止302跳转,或者每跳转一次,就检查一次新的Host是否是内网
31-浅谈SSRF漏洞1
08-03
1、获取web应用可达服务器服务的banner信息以及收集内网web应用的指纹识别, 2、攻击运行在内网的系统或应用程序,获取内网各系统弱口令进行内网漫游、对有
SSRF系统漏洞技术分析.pptx
10-12
SSRF系统漏洞技术分析.pptx
Web 安全漏洞 SSRF 简介及解决方案
weixin_57543652的博客
02-16 418
攻击者可根据程序流程,使用应用所在服务器发出攻击者想发出的 http 请求,利用该漏洞来探测生产网中的服务,可以将攻击者直接代理进内网中,可以让攻击者绕过网络访问控制,可以下载未授权的文件,可以直接访问内网,甚至能够获取服务器凭证。笔者负责的内部 web 应用中有一个下载文件的接口 /download,其接受一个 url 参数,指向需要下载的文件地址,应用向该地址发起请求,下载文件至应用所在服务器,然后作后续处理。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6393
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
ssrf漏洞修复方式有几种
05-19
SSRF (Server-Side Request Forgery) 漏洞是一种常见的 Web 安全漏洞,通常可用于攻击内部系统或云环境。常见的 SSRF 漏洞修复方式有以下几种: 1. 禁止或限制协议:通过禁止或限制请求中的协议参数来阻止攻击者发送恶意请求。例如,禁止请求使用 file:// 协议,或限制请求只能使用 HTTP 或 HTTPS 协议。 2. 白名单过滤:通过配置白名单来限制可以访问的目标地址,例如只允许访问指定的域名或 IP 地址,从而防止攻击者访问本地或内部系统。 3. 使用跳转页面:将请求重定向到另一个页面,例如使用 302 跳转,从而避免直接访问敏感资源。 4. 验证目标地址:在发送请求之前,对目标地址进行验证和过滤,例如检查 URL 中的域名是否合法、是否为内部地址等。 5. 限制访问权限:通过限制应用程序的访问权限来防止攻击者获取敏感信息,例如使用沙箱环境或限制应用程序的文件系统访问权限。 需要注意的是,不同的修复方式可能存在不同的限制和风险,应根据具体情况选择合适的修复方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值