本文深入探讨了Server-Side Request Forgery(SSRF)漏洞,包括常见触发点、潜在风险及如何通过拒绝列表和允许列表进行防护。攻击者可能利用隐藏字段、部分URL或开放重定向等手段绕过防护措施,实现内部资源的非法访问。通过实例展示了如何利用SSRF进行路径穿越以越权访问。
Server-Side Request Forgery
tryhackme讲的也比较清晰,摘抄点 点
可以通过多种不同的方式在 Web 应用程序中发现潜在的 SSRF 漏洞。以下是四个常见位置的示例:
在地址栏中的参数中使用完整 URL 时:
http://webside.thm/form?server=https://baidu.com
表单中的隐藏字段:
html的form表单当中
部分 URL,例如主机名:
http://webside.thm/form?server=api
或者可能只有 URL 的路径:
http://webside.thm/form?server=/api/user
绕过
更多了解 SSRF 漏洞风险的安全开发人员可以在其应用程序中实施检查,以确保请求的资源符合特定规则。通常有两种方法,拒绝列表或允许列表。
拒绝列表
拒绝列表是指接受除列表中指定的资源或匹配特定模式的资源之外的所有请求。Web 应用程序可以使用拒绝列表来保护敏感的端点、IP 地址或域不被公众访问,同时仍允许访问其他位置。限制访问的特定终结点是 localhost,其中可能包含服务器性能数据或其他敏感信息,因此 localhost 和 127.0.0.1 等域名将显示在拒绝列表中。攻击者可以使用替代本地主机引用(如 0、0.0.0.0、0000、127.1、127...*、2130706433、017700000001)或具有解析为 IP 地址 127.0.0.1(如 127.0.0.1.nip.io)的DNS记录的子域绕过拒绝列表。
此外,在云环境中,阻止对 IP 地址 169.254.169.254 的访问将是有益的,该地址包含已部署云服务器的元数据,包括可能的敏感信息。攻击者可以通过使用指向 IP 地址 169.254.169.254 的DNS记录在自己的域上注册子域来绕过此问题。
允许列表
在允许列表中,所有请求都会被拒绝,除非它们出现在列表中或与特定模式匹配,例如参数中使用的 URL 必须以 https://website.thm 开头的规则。攻击者可以通过在攻击者的域名(如 https://website.thm.attackers-domain.thm)上创建子域来快速规避此规则。应用程序逻辑现在允许此输入,并允许攻击者控制内部HTTP请求。
打开重定向
如果上述绕过不起作用,攻击者还有一个技巧,即开放重定向。开放重定向是服务器上的端点,网站访问者会自动重定向到另一个网站地址。以链接 https://website.thm/link?url=https://tryhackme.com 为例。创建此端点是为了记录访问者出于广告/营销目的点击此链接的次数。但是想象一下,存在一个潜在的SSRF漏洞,该漏洞具有严格的规则,仅允许以 https://website.thm/ 开头的URL。攻击者可以利用上述功能将内部HTTP请求重定向到攻击者选择的域。
SSRF练习
简单来讲就是 /private 这个页面无权查看并且不能以 /private为开头,通过可能存在的ssrf漏洞,配合路径穿越…/绕过,从而越权访问,
http://webside.thm/?avatar=string/../private
string/../private 就等价于 /private
扫一扫
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
