SSRF（服务器端请求伪造）的攻防汇总

以下是关于 SSRF（服务器端请求伪造）的攻防汇总：

 

一、攻击方手段

 

1. 利用 URL 解析漏洞

 

- 攻击原因：某些应用程序在处理 URL 时可能存在漏洞，攻击者可以构造恶意的 URL，使服务器向内部或外部的任意目标发起请求。例如，通过修改 URL 的主机部分，让服务器访问内部的管理接口、数据库服务等，从而获取敏感信息或执行恶意操作。

- 比如，一个图片处理应用允许用户提供图片的 URL 进行处理，但没有对 URL 进行严格的验证。攻击者可以构造一个指向内部服务器的 URL，如“http://internal-server/admin-panel”，如果服务器没有正确过滤这个 URL，就可能向内部管理面板发起请求，泄露敏感信息。

2. 利用协议转换漏洞

 

- 攻击原因：一些服务器支持多种协议，如 HTTP、FTP、FILE 等。攻击者可以利用协议转换的漏洞，让服务器以一种不被预期的方式发起请求。例如，通过使用 file:// 协议让服务器读取本地文件系统中的敏感文件。

- 例如，一个网络爬虫应用可能允许用户提供 URL 让其进行爬取，但没有限制协议。攻击者可以提供“file:///etc/passwd”这样的 URL，让服务器读取本地的 /etc/passwd 文件，获取系统用户信息。

 

二、防御方措施

 

1. 严格的输入验证

 

- 防御原因：对用户输入的 URL 进行严格的验证和过滤，只允许访问特定的、安全的目标。可以使用白名单机制，只允许访问预先定义好的合法 URL 或域名。同时，对 URL 的格式、协议、主机名等进行检查，防止恶意 URL 的传入。

- 例如，一个文件下载服务只允许用户下载来自特定几个可信域名的文件，对用户输入的 URL 进行检查，如果不在白名单内则拒绝请求。

2. 禁用不必要的协议

 

- 防御原因：如果应用程序不需要支持某些协议，如 file://、ftp:// 等，应该在服务器配置中禁用这些协议，以防止攻击者利用这些协议进行 SSRF 攻击。

- 比如，一个 Web 应用只需要处理 HTTP 和 HTTPS 请求，那么可以在服务器配置中禁用其他协议，确保服务器不会响应这些协议的请求。

3. 限制请求范围

 

- 防御原因：限制服务器发起请求的范围，如只允许向特定的 IP 地址段或域名发起请求，可以减少 SSRF 攻击的风险。可以通过防火墙规则、网络访问控制列表等方式来实现。

- 例如，一个内部服务只允许与特定的几个内部服务器进行通信，通过设置防火墙规则，只允许向这些特定的 IP 地址发起请求，防止攻击者利用 SSRF 攻击其他外部或内部敏感目标。