服務端請求偽造(SSRF)是一種安全漏洞,攻擊者可以通過構造偽造的請求,使服務端發起對內部系統的訪問。這通常涉及到伺服器從其他伺服器套用獲取數據的功能,但沒有對目標伺服器進行適當的過濾和限制。例如,在網頁套用中,伺服器A可能提供對外網服務的接口,而伺服器B保存圖片資源供A請求。如果伺服器A沒有對URL進行過濾,攻擊者可以構造一個特殊的URL,使伺服器A請求到內部網路B的數據。
SSRF攻擊的利用方式包括:
對伺服器所在區域網路或本地進行連線埠掃描,獲取伺服器banner信息。
攻擊運行在區域網路或本地的應用程式。
對區域網路web套用進行指紋識別。
利用跨協定通信技術攻擊區域網路應用程式或web服務。
利用file協定、dict協定、gropher協定、ftp協定等讀取本地檔案。
通過請求大檔案進行DoS攻擊。
防禦SSRF攻擊的措施包括:
過濾返回信息,驗證遠程伺服器對請求的回響,並對返回給用戶的結果進行檢查。
統一錯誤信息,避免用戶可以通過錯誤信息判斷伺服器的連線埠狀態。
進行連線埠限制,將連線埠限制為80、443等HTTP常用連線埠。
設立黑白名單限制區域網路IP。
僅允許HTTP/HTTPS協定,以防止類似file協定等導致的問題。