【Java代码审计】SSRF

已于 2024-02-27 00:37:32 修改
阅读量1.1k 收藏 19
点赞数 21
分类专栏: 代码审计 文章标签: java web安全 安全 安全架构 网络安全
于 2024-02-27 00:34:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48201589/article/details/136311520
版权
本文详细介绍了SSRF攻击的概念,涉及Java中常见的几种引发SSRF的网络请求函数,如URLConnection、HttpURLConnection和ImageIO,并提供了代码示例。同时讨论了漏洞防御措施,包括检查协议、内网IP和端口策略来防止SSRF漏洞。
摘要由CSDN通过智能技术生成

什么是SSRF?

SSRF(Server-Side Request Forge, 服务端请求伪造) ,即攻击者构造恶意参数使服务端对其它内/外网系统进行访问或者攻击的一种方式。
Java支持的网络请求协议:

file ftp http https gopher(jdk≤1.7) jar netdoc mailto
在这里插入图片描述

SSRF代码审计函数

SSRF漏洞一般用于URL在线翻译、文件或图片的加载等功能处
代码审计时需要关注的发起HTTP请求的类及函数:

HttpURLConnection. getInputStream
URLConnection. getInputStream
Request.Get. execute
Request.Post. execute
URL.openStream
ImageIO.read
OkHttpClient.newCall.execute
HttpClients. execute
HttpClient.execute
……

SSRF漏洞代码示例

首先在任意文件夹下创建一个txt文件,并随便输入几行内容
在这里插入图片描述
同时在该文件夹下打开cmd,开启一个http服务方便后续漏洞测试:

python -m http.server 80

1. URLConnection
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;

//urlConnection
@WebServlet("/ssrf1")
public class SSRFDemo extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

//        req.setCharacterEncoding("utf-8");
//        resp.setCharacterEncoding("utf-8");
//        resp.setContentType("text/html; charset=utf-8");
        String url = req.getParameter("url");
        URL u = new URL(url);
        System.out.println(u);
        URLConnection urlConnection = u.openConnection();
        InputStreamReader inputStream = new InputStreamReader(urlConnection.getInputStream()) ;
        BufferedReader bufferedReader = new BufferedReader(inputStream);
        String line;
        StringBuffer stringBuffer = new StringBuffer();
        while ((line = bufferedReader.readLine()) !=null){
            stringBuffer.append(line);
        }

        inputStream.close();
        bufferedReader.close();

        resp.getWriter().write(stringBuffer.toString());
    }
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp
    ) throws ServletException, IOException {
        this.doGet(req,resp);
    }
}
  • 访问/ssrf1?url=file:///D:\Code\JavaCode\test\123.txt 反斜杠 \报错,这是因为tomcat对GET请求中的| {} 等特殊字符存在限制(RFC 3986)
    在这里插入图片描述
  • 可以修改为POST请求 url=file:///D:\Code\JavaCode\test\123.txt
    在这里插入图片描述
  • 可以修改为斜杠(/) /ssrf1?url=file:///D:/Code/JavaCode/test/123.txt

在这里插入图片描述

  • 可以设置URL编码 /ssrf1?url=file:///D:%5cCode%5cJavaCode%5ctest%5c123.txt
    在这里插入图片描述
2. HttpURLConnection
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.net.URLConnection;


//HttpURLConnection ssrf vul
//http
@WebServlet("/ssrf2")
public class SSRFDemo2 extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        String url = req.getParameter("url");
        URL u = new URL(url);
        System.out.println(u);
        URLConnection urlConnection = u.openConnection();
        HttpURLConnection httpUrl = (HttpURLConnection)urlConnection;
        InputStreamReader inputStream = new InputStreamReader(httpUrl.getInputStream()) ;
        BufferedReader bufferedReader = new BufferedReader(inputStream);
        String line;
        StringBuffer stringBuffer = new StringBuffer();
        while ((line = bufferedReader.readLine()) !=null){
            stringBuffer.append(line);
        }
        inputStream.close();
        bufferedReader.close();

        resp.getWriter().write(stringBuffer.toString());
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        super.doGet(req, resp);
    }
}
  • HttpURLConnection 只允许HTTP/HTTPS协议
    在这里插入图片描述
  • 访问 /ssrf2?url=http://192.168.1.103:80/123.txt

在这里插入图片描述

3. ImageIO
import javax.imageio.ImageIO;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.net.URL;

@WebServlet("/ssrf3")
public class SSRFDemo3 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
// ImageIO ssrf vul
        String url = req.getParameter("url");
        URL u = new URL(url);
        BufferedImage img = ImageIO.read(u); // 发起请求,触发漏洞
        resp.getWriter().write(img.toString());
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        super.doGet(req, resp);
    }
}
  • 访问 /ssrf3?url=http://192.168.1.103:80/123.txt,,如果获取到的不是图片,会返回null
    在这里插入图片描述* 访问 /ssrf3?url=http://192.168.1.103:80/xuegao.jpg
    在这里插入图片描述
4. openStream

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.URLConnection;

//openStream
@WebServlet("/ssrf4")
public class SSRFDemo4 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String url = req.getParameter("url");
        URL u = new URL(url);
        InputStream inputStream = u.openStream();
        InputStreamReader inputStreamReader = new InputStreamReader(inputStream);
        BufferedReader bufferedReader = new BufferedReader(inputStreamReader);
        String line;
        StringBuffer stringBuffer = new StringBuffer();
        while (( line = bufferedReader.readLine()) != null){
            stringBuffer.append(line);
        }

        inputStream.close();
        inputStreamReader.close();
        bufferedReader.close();

        resp.getWriter().write(stringBuffer.toString());




    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        super.doGet(req, resp);
    }
}
  • 访问 /ssrf4?url=http://192.168.1.103:80/123.txt
    在这里插入图片描述
5. 还有一部分第三类库:
// Request漏洞示例
String url = request.getParameter("url");
return Request.Get(url).execute().returnContent().toString();//发起请求

// OkHttpClient漏洞示例
String url = request.getParameter("url");
OkHttpClient client = new OkHttpClient();
com.squareup.okhttp.Request ok_http = new com.squareup.okhttp.Request.Builder().url(url).build();
client.newCall(ok_http).execute();  //发起请求

// HttpClients漏洞示例
String url = request.getParameter("url");
CloseableHttpClient client = HttpClients.createDefault();
HttpGet httpGet = new HttpGet(url);
HttpResponse httpResponse = client.execute(httpGet); //发起请求

漏洞防御

  1. 正确处理302跳转(在业务角度看,不能直接禁止302,而是对跳转的地址重新进行检查)
  2. 限制协议只能为http/https,防止跨协议
  3. 设置内网ip黑名单(正确判定内网ip、正确获取host)
  4. 设置常见web端口白名单(防止端口扫描,可能业务受限比较大)
private static int connectTime = 5 * 1000;

public static boolean checkSsrf(String url) {
  HttpURLConnection httpURLConnection;
  String finalUrl = url;
  try {
    do {
      if(!Pattern.matches("^https?://.*/.*$", finalUrl)) { //只允许http/https协议
        return false;
      }
      if(isInnerIp(url)) { //判断是否为内网ip
        return false;
      }

      httpURLConnection = (HttpURLConnection) new URL(finalUrl).openConnection();
      httpURLConnection.setInstanceFollowRedirects(false); //不跟随跳转
      httpURLConnection.setUseCaches(false); //不使用缓存
      httpURLConnection.setConnectTimeout(connectTime); //设置超时时间
      httpURLConnection.connect(); //send dns request

      int statusCode = httpURLConnection.getResponseCode();
      if (statusCode >= 300 && statusCode <=307 && statusCode != 304 && statusCode != 306) {
        String redirectedUrl = httpURLConnection.getHeaderField("Location");
        if (null == redirectedUrl)
          break;
        finalUrl = redirectedUrl; //获取到跳转之后的url,再次进行判断
      } else {
        break;
      }
    } while (httpURLConnection.getResponseCode() != HttpURLConnection.HTTP_OK);//如果没有返回200,继续对跳转后的链接进行检查
    httpURLConnection.disconnect();
  } catch (Exception e) {
    return true;
  }
  return true;
}

private static boolean isInnerIp(String url) throws URISyntaxException, UnknownHostException {
    URI uri = new URI(url);
    String host = uri.getHost(); //url转host
  	//这一步会发送dns请求,host转ip,各种进制也会转化为常见的x.x.x.x的格式
    InetAddress inetAddress = InetAddress.getByName(host); 
    String ip = inetAddress.getHostAddress();

    String blackSubnetlist[] = {"10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16", "127.0.0.0/8"}; //内网ip段
    for(String subnet : blackSubnetlist) {
      SubnetUtils subnetUtils = new SubnetUtils(subnet); //commons-net 3.6
      if(subnetUtils.getInfo().isInRange(ip)) {
        return true; //如果ip在内网段中,直接返回
      }
    }
    return false;
}
Hello_Brian
关注
  • 21
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Java代码审计之服务器端请求伪造漏洞(SSRF)详解
悦分享
01-23 389
成功的网络攻击最重要的因素之一是足够的访问权限。在安全得到充分考虑的应用程序中,外部用户通常没有足够的访问权限来造成伤害。在这种情况下,攻击者可以尝试不同的方法。与其尝试获得足够的访问并尝试获得足够的权限,他们可以尝试操作已经拥有足够访问和授权的应用程序实体(如服务器)。服务器端请求伪造(SSRF)就是这样一种攻击,攻击者欺骗服务器发出意外请求。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。
Java代码审计SSRF篇
大河之犬的博客
04-02 1193
SSRF(Server-Side Request Forge,服务端请求伪造)是目前在大型站点中出现频率较高的漏洞,这种漏洞通常是由攻击者构造的 payload 传递给服务端,服务端对传回的 payload 未做处理直接执行而造成的。一般情况下,攻击者无法访问攻击目标的内网,SSRF 是攻击者访问内网的凭借之一,因为 SSRF 攻击是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。
java代码审计-SSRF
Gefangenes的博客
06-20 320
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容,加载指定地址的图片,下载等等。这里主要介绍java中和两个方法产生SSRF的原理和修复方法。
JAVA代码审计SSRF
Jiajiazml的博客
09-23 2338
本文从漏洞原理、审计函数、漏洞危害、漏洞代码示例、实战案例、漏洞防御方式等几个方面介绍了SSRF漏洞攻击
代码审计——SSRF详解
Boom!脑洞大爆炸的博客
06-17 1433
代码审计SSRF详解
SSRF漏洞JAVA解决方案
柳落青
09-16 3787
SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
Java代码审计思维导图
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞的漏洞成因,漏洞审计以及漏洞...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-ssrf.md 第一的 4年前 java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码...
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接1.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
代码审计 | [De1CTF 2019]SSRF Me
crispr的博客
02-09 1783
[De1CTF 2019]SSRF Me 前言 以为是flask模板注入,但是看了其他师傅的writeup后发现是一个代码审计的流程,那就安心审计代码吧。 提示flag在/flag.txt中 整理后代码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import s...
Java代码审计ssrf基础
m0_55772907的博客
11-15 667
代码审计
java代码审计SSRF
qq_34778376的博客
03-11 591
漏洞描述 当Web服务器对用户提供的未经验证的目标参数发起请求时,将发生服务器端请求伪造(ssrf)。 攻击者可以构造特殊的攻击链接传给服务端执行从而利用漏洞,一般用来在外网探测或攻击内网服务。此类漏洞可能允许攻击者访问内部服务或从您的Web服务器发起攻击。 缺陷代码 def doGet(value:String) = Action { WS.url(value).get().map { response => Ok(response.body) } } 修复建议:
SSRF攻击
秋水的博客
09-04 2919
SSRF攻击原理 什么是SSRF? 服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务) 简单理解就是: 攻击者能够利用目标帮助攻击者访问其他想要攻击的目标 A让B帮忙访问C 为什么会产生SSRF漏洞? 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指...
JAVA代码审计SSRF漏洞
liguangyao213的博客
02-18 2269
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部服务器系统
Java代码审计之路二(SSRF漏洞审计)
Love&Share
05-02 1928
SSRF Java 网络请求支持的协议,包括:http、https、file、mailto、jar、netdoc,但是相对 PHP 可以利用很多伪协议来说 Java SSRF 还是略显单调 补充: mailto:是一个用于发送邮件的 URL 协议 jar:Jar URL协议解析,协议可以用来读取 zip 格式文件(包括 jar 包)中的内容 netdoc 协议:在大部分情况下可代替 file 虽然支持多种协议,但是 JavaSSRF 利用方式比较局限,一般只用以下两种方式 利用 file 协议任
学习笔记-java代码审计-ssrf
人饭子的博客
11-13 398
java代码审计-ssrf 0x01 漏洞挖掘 java发送http请求的方式还是比较多的,下面是原生的: String url = request.getParameter("url"); URL u = new URL(url); //1.URL,直接打开,可以跨协议 InputStream inputStream = u.openStream(); //2. URLConnection...
SSRF
love4amanda的博客
02-05 205
简介 SSRF指服务器端请求伪造: 由攻击者构造形成由服务端发起请求的一个安全漏洞.往往用于突破内网的访问限制. 解释:多数公司的内网系统是不对外部开放的,特别是金融领域. 由于之前在XXE的修复中其实就存在SSRF漏洞,这里做一些补充,便于后续伙伴理解. 如果小伙伴理解CSRF那么就很容易理解SSRF;前者是客户端请求伪造后者是 危害 主要体现在内网端口扫描和文件读写,当然也可以对内网应用进行攻...
ctfshow web入门 代码审计
12-10
Web安全中的代码审计是指对Web应用程序的源代码进行分析,以查找潜在的漏洞和安全问题。CTF比赛中的Web入门题目通常是一些简单的Web应用程序,可以通过代码审计来发现漏洞并获取flag。 以下是一些常见的Web漏洞和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello_Brian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值