SSRF漏洞原理攻击与防御

原理

        指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击

攻击目标

        从外网无法访问的内部系统。利用一个可以发起网络请求的服务，当做跳板来攻击其它服务。

成因

        由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。ssrf是利用存在缺陷的web应用作为代理去攻击远程和本地的服务器。

产生 SSRF 漏洞的函数

1、file_get_contents

2、sockopen()

3、curl_exec()

注意事项：

1、一般情况下PHP不会开启fopen的gopher wrapper

2、file_get_contents的gopher协议不能URL编码

3、file_get_contents关于Gopher的302跳转会出现bug，导致利用失败

4、curl/libcurl 7.43 上gopher协议存在bug(%00截断) 经测试7.49 可用

5、curl_exec() 默认不跟踪跳转，

6、file_get_contents() file_get_contents支持php://input协议

怎么验证是不是存在SSRF漏洞

1、基本判断（排除法）

例如： http://www.douban.com/***/service?image=http://www.baidu.com/img/bd_logo1.png

排除法一： 你可以直接右键图片，在新窗口打开图片，如果是浏览器上URL地址栏是http://www.baidu.com/img/bd_logo1.png，说明不存在SSRF漏洞。

如图：

排除法二： 你可以使用burpsuite等抓包工具来判断是否是SSRF，首先SSRF是由服务端发起的请求，因此在加载图片的时候，是由服务端发起的，所以在我们本地浏览器的请求中就不应该存在图片的请求，如果刷新当前页面，有如下请求，则可判断不是SSRF。（前提设置burpsuite截断图片的请求，默认是放行的）

SSRF的伪协议

1、file（ 这种URL Schema可以尝试从文件系统中获取文件 ）
2、dict（ 这种URL Scheme能够引用允许通过DICT协议使用的定义或单词列表 ）
3、sftp（ 这是一种与SSH打包在一起的单独协议，它运行在安全连接上，并以类似的方式进行工作。）
4、ldap://或ldaps:// 或ldapi://
5、tftp://（ 是一种简单的基于lockstep机制的文件传输协议，它允许客户端从远程主机获取文件或将文件上传至远程主机。）
6、gopher://（ 利用该服务，用户可以无缝地浏览、搜索和检索驻留在不同位置的信息 ）

危害

1、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息
2、攻击运行在内网或本地的应用程序（比如溢出）
3、对内网web应用进行指纹识别，通过访问默认文件实现
4、攻击内外网的web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）
5、利用file协议读取本地文件等
6、各个协议调用探针：http,file,dict,ftp,gopher等

绕过方式

1、限制为http://www.xxx.com 域名时（利用@）
2、采用短网址绕过
3、采用进制转换
4、利用特殊域名
5、利用[::]
6、利用句号
7、CRLF 编码绕过
8、利用封闭的字母数字
9、限制为http://www.xxx.com 域名
10、限制请求IP不为内网地址
11、限制请求只为http协议

防御

1、过滤返回信息，验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
2、统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态。
3、限制请求的端口为http常用的端口，比如，80,443,8080,8090。
4、黑名单内网ip。避免应用被用来获取获取内网数据，攻击内网。
5、禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。

总结