每日漏洞系列（三）：服务器端请求伪造攻击（SSRF）

大家好！今天我们来聊聊一个重要的网络安全问题------服务器端请求伪造攻击（Server-Side Request Forgery，简称SSRF）。这种攻击方式可能会导致内部系统被攻击。首先，我们需要了解什么是SSRF攻击，然后再深入探讨其原理、示例以及防御措施。

一、SSRF基础知识

1. SSRF的定义和背景

SSRF攻击是攻击者诱导服务器端应用程序发起恶意请求。通过精心构造的请求，攻击者可以让服务器访问本不应该访问的资源，如内部网络、私有IP地址、云服务元数据等。由于服务器在内部网络中的权限通常比外部用户高，这种攻击会导致敏感信息泄露。

SSRF攻击主要利用了服务器在处理请求时的权限，服务器通常拥有比客户端更多的权限，可以访问内网或其他受限资源。攻击者通过诱导服务器发起请求，进而访问或攻击内部系统。

如上图所示，client和内网服务器间有一台作为跳板的服务器，client没法直接访问内网，于是就期望通过ssrf漏洞利用中间的服务器获取内网文件。

2. SSRF的工作原理

SSRF攻击的工作原理是利用服务器端的请求功能，构造恶意请求。这些请求通常是由用户输入的数据生成的，服务器在没有充分验证和过滤输入的情况下，直接使用这些数据发起请求。

以下是一个典型的SSRF请求示例：

http://example.com/fetch?url=http://malicious.com

在这个示例中，服务器会根据url参数的值去访问http://malicious.com。如果没有对输入的URL进行适当的验证，攻击者可以将url参数修改为任意地址。

3. SSRF的目标

SSRF攻击的目标包括：

• 内部网络服务：攻击者通过服务器访问内部网络服务，如数据库、管理接口等。
• 云服务元数据：在云环境中，元数据服务通常用于提供实例相关信息。通过SSRF攻击，攻击者可以访问这些元数据。
• 本地文件系统：某些情况下，SSRF攻击可以用于读取服务器本地文件，尤其是配置文件。

4. SSRF的技术细节

SSRF攻击通常涉及以下技术细节：

• 请求伪造：攻击者通过构造特定的URL，诱导服务器发起请求。
• IP欺骗：利用SSRF访问内部IP地址或本地回环地址（如127.0.0.1）。
• 协议支持：不仅限于HTTP/HTTPS，SSRF还可以通过FTP、SMTP等协议发起请求。

5. SSRF攻击的示例

为了更好地理解SSRF攻击，我们来看几个具体的示例。

示例一：访问内部系统

假设某网站提供一个功能，可以通过URL参数下载指定地址的文件：

http://example.com/download?file=http://example.com/file.txt

攻击者可以将file参数改为内部地址：

http://example.com/download?file=http://internal-system/admin

服务器会请求内部系统的/admin页面，可能会泄露敏感信息。

示例二：端口扫描

攻击者还可以利用SSRF进行端口扫描，发现内部网络中的开放端口。比如，攻击者构造如下请求：

http://example.com/download?file=http://127.0.0.1:22

如果服务器返回了特定响应，说明该端口开放。通过改变端口号，攻击者可以扫描整个内部网络的端口。

示例三：访问云元数据

在云环境中，很多服务会提供元数据服务，供实例访问自身信息。比如，AWS的元数据服务地址为http://169.254.169.254/latest/meta-data/。攻击者可以利用SSRF访问这些元数据，获取敏感信息：

http://example.com/download?file=http://169.254.169.254/latest/meta-data/

SSRF和主机头注入的区别

SSRF和主机头注入（Host Header Injection）是两种不同类型的攻击，各自的目标和方法有所不同。

1. 攻击目标

• SSRF ：目标是服务器端的请求，攻击者通过构造恶意请求让服务器去访问内部网络、私有IP地址或其他受限资源 。目标通常是利用服务器的权限来访问内部资源。

• 主机头注入：目标是应用程序的处理逻辑，攻击者通过篡改HTTP请求的Host头部，可能导致服务器错误地处理请求，或者将攻击者的输入作为信任的数据处理。常见的目标包括缓存中毒、绕过安全策略等。

2. 攻击方法

• SSRF：攻击者利用服务器端应用程序中的漏洞，通过参数注入或请求重定向等方式，构造恶意请求。例如，通过操控URL参数，诱导服务器发起对内部资源的请求。

• 主机头注入：攻击者通过篡改HTTP请求中的Host头部，诱导服务器将请求处理为其他资源或域。例如，通过伪造Host头部来影响服务器的URL生成、重定向或缓存机制。

3. 示例

• SSRF示例：

  http://example.com/fetch?url=http://internal-system/admin

  服务器访问内部系统的/admin页面，可能会泄露敏感信息。

• 主机头注入示例：

  GET / HTTP/1.1
  Host: evil.com

  如果服务器依赖Host头部来生成链接或进行重定向，可能会导致安全漏洞。

4. 防御措施

• SSRF：

  • 严格验证和过滤用户输入。
  • 使用白名单限制允许访问的外部地址。
  • 限制服务器的网络访问权限。

• 主机头注入：

  • 验证和规范化Host头部。
  • 使用绝对URL或配置服务器以避免依赖Host头部。
  • 检查并过滤Host头部中的不可信输入。

常见的SSRF漏洞的出现点

在一个网站中，以下几个地方通常可能会出现SSRF（服务器端请求伪造）漏洞：

1. URL 传递的参数

许多网站允许用户提供一个URL作为输入，例如图片上传、URL预览、RSS提取等功能。如果这些URL参数没有进行严格的验证和过滤，就可能被利用进行SSRF攻击。

示例：

http://example.com/fetch?url=http://external-site.com/image.jpg

2. 文件下载功能

一些网站允许用户通过提供一个链接来下载文件，如果链接参数没有进行充分的验证，攻击者可以利用该功能发起SSRF攻击。

示例：

http://example.com/download?file=http://internal-system/private-file

3. 数据抓取或API调用

网站可能有功能从其他网站抓取数据或调用API，例如新闻聚合、社交媒体整合等。如果用户可以控制目标URL，就可能被利用进行SSRF攻击。

示例：

http://example.com/getNews?source=http://external-news-site.com

4. 图像处理

图像处理功能可能需要从指定的URL下载图像进行处理，如果用户提供的URL未经验证，也可能导致SSRF漏洞。

示例：

http://example.com/processImage?imageUrl=http://malicious-site.com/image.jpg

5. Webhooks

一些应用支持Webhooks功能，允许用户设置一个URL，应用会向该URL发送请求。这种情况下，如果没有对URL进行验证，可能会导致SSRF攻击。

示例：

http://example.com/setWebhook?url=http://attacker-controlled-site.com/webhook

6. 社交媒体整合

社交媒体整合功能，比如通过提供URL从外部网站抓取用户头像、帖子等信息，如果没有验证URL来源，也可能导致SSRF漏洞。

示例：

http://example.com/getProfilePicture?profileUrl=http://social-media.com/user/1234

7. 内部服务间通信

在一些微服务架构中，服务之间的通信可能通过HTTP请求进行。如果某个服务允许用户输入目标服务的URL，且未验证输入，就可能被利用进行SSRF攻击。

示例：

POST /api/v1/sendRequest
{
  "url": "http://internal-service/api/data"
}

小结

SSRF攻击：攻击者利用服务器的请求功能，通过构造恶意请求访问内部系统或敏感资源。如果有任何问题，欢迎在评论区讨论！