前言

• 这几天各种技术面试接踵而至，压得我喘不过气了！然后面试官问了我这个SSRF漏洞原理和利用方式以及防御手段，当然同时还问了好几个Top10漏洞！

SSRF漏洞概述

• 危害：一个不符合预期的请求就可能导致整个内网沦陷
• 全名 ：Server Side Request Forgery
• 基本原理：攻击者构造恶意的URL，由服务器端发起请求的漏洞
• SSRF的目标：从外网无法访问的内部系统。让服务器替攻击者发请求。
• 面试回答部分：因为一些内网资源，攻击者直接请求不到，而服务器存在SSRF漏洞时，可代替攻击者发送任意的请求，于是服务器就成为攻击者访问其所在内网各个系统的“跳板”。借助这台服务器，攻击者可以直接攻击内网系统，由于内网系统安全性普遍较为薄弱，就极有可能导致整个内网沦陷
• 形成原因：服务器提供了远程访问的功能，且没有对目标地址进行过滤和限制。
• 代码示例

$imageUrl =$_GET['catchimage'];
$context =stream_context_create(arry('http' =>arry('follow_location'=>false // don't  follow   redirects))
);
redirect($imageUrl,false,$context);

• 上述例子，程序员的本意是想给用户提高一个抓取远程图片的功能，但是没有对catchimage参数进行过滤检测，从而导致用户可以构造URL,访问内网。
• 构造恶意URL:127.0.0.1:8080/catchimage.php?catchimage=http://10.10.10.34:8080/
• 该漏洞实际上是操纵服务器去发送请求，因为攻击者从互联网无法访直接访问内网，但是服务器可以，借助服务器之手，来攻击其内网的其他服务器。

SSRF漏洞检测与挖掘

• 1）能够对外发起网络请求的地方，就可能存在SSRF漏洞
• 2）从远程服务器请求资源的地方，如通过URL上传，导入文件、或RSS订阅等。
• 3）数据库内置功能，Oracle、MongoDB、MSSQL、PostgreSQL、CouchDB等数据库都具有加载外部URL的功能。
• 4）Webmail收取其他邮箱邮件，如POP3、IMAP、SMTP等
• 5）文件处理、编码处理、属性信息处理，如FFmpeg、ImageMagic、Word、Excel、PDF、XML等。
• 利用限制
• OpenSSL.当服务器开启OpenSSL时，SSRF请求也必须遵从OpenSSL来交互，因而一些场景下无法直接利用。
• 鉴权。大部分网站使用Cookie鉴权，还有一部分使用HTTP Basic 认证，当攻击者仅能控制一个URL时，往往无法人为添加Cookie或www-authenticate头部字段，进而无法访问部分接口
• 校验了其他头部字段的情况，如：Referer，User-Agent等。

SSRF漏洞的回显分类

• 有回显
• 半盲回显(半盲SSRF)
• 无回显（全盲SSRF，针对DNS Log或HTTP Log)
• 暑假期间我会尽快对这一部分进行补齐

SSRF漏洞利用

• 通过SSRF漏洞攻击内网Redis未授权服务
• 通过SSRF漏洞攻击Kubernetes服务
• SSRF漏洞与DNS Rebinding攻击
• WebLogic SSRF 漏洞（CVE-2014-4210）
• 暑假期间我会尽快对这一部分进行补齐

SSRF漏洞防御

• 对于服务器来说，尽量避免使用服务器端根据用户用户参数远程加载资源，如果一定要采取这种方法，应当尽量将资源固定化，避免用户提交可变参数
• 在使用开源的类库时，应当对其是否存在SSRF漏洞进行充分了解，尽可能使用最新版本或保证安全的较新版本。
• 此外，，对于内网漏洞的及时修复以及未授权接口的加以鉴权，能够有效降低SSRF漏洞攻击造成的危害，也应当放在去企业安全管理者考虑的范围之内。