您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

安全技术研究- SSRF攻击

时间:2022-11-27 17:30:07  来源:  作者:血超级厚的土豆

 

 

介绍

服务器端请求伪造(SSRF)攻击是一种应用安全漏洞,恶意行为者可以操纵web应用程序上的参数来创建或控制来自存在漏洞的服务器的请求。攻击者通常使用这些漏洞来攻击那些由于使用了防火墙而无法从外部网络访问的内部系统。

最常见的情况是,为了实现某个特性或者为了开发的便利性,服务器应用程序向第三方服务器发送HTTPS请求。这个请求可能需要:使用一个互联网API,下载一个包或通过一个社交账户(如微信, 淘宝等)检索用户信息。攻击者可能滥用该特性向另一个第三方发送请求,或通过服务器对原来的第三方系统窃取数据。

从本质上说,SSRF攻击利用了安全性的基础之一信任,它利用现有的信任关系使应用程序可以直接对其他后端系统甚至服务器本身进行访问甚至是攻击。

影响及危害

一个成功的SSRF攻击可以使恶意攻击者渗透进内网并不受限制的横向移动到后端web服务器的防火墙后面,导致应用程序的机密性、完整性和可用性全部受到损害。

那些成功地将SSRF作为其攻击过程中重要一部分的黑客行为,其影响及后果往往都是非常巨大的。在臭名昭著的2019年Capital One黑客事件中,数字说明了一切:被泄露的数据包括姓名、地址、电话号码、自我报告的收入、信用评分和支付历史,以及美国约1亿名客户(约占美国人口的1/3)和加拿大600万名客户的其他个人信息。

与许多安全问题一样,人为错误无疑在上述示例中起了一定作用,因为入侵入口的根本原因往往都是配置错误的防火墙。

场景:

 

 

 

通常,客户端web请求是通过支持已定义的协议类(如HTTP)的语言函数来执行的,这使开发人员使用它们非常简单。

根据易受攻击的请求在服务器端实现的方式,攻击者可能能够到达另一个网站。攻击者甚至可以更改协议,例如,使用file://协议(在许多情况下默认接受该协议)来读取文件系统上的任何文件。

由于防火墙和网络安全,SSRF攻击仍然相当强大;能够通过服务器伪造任意请求的攻击者将受益于服务器的物理/逻辑位置和活动防火墙规则。当从服务器执行请求时,攻击者可能可以使用不可见和禁止的网络资源。一个常见的例子是对外部世界隐藏的管理服务器,但允许服务器使用它,因为该服务器可能管理其更新或监视其使用。

最后,攻击者可以监听指向开放TCP端口的SSRF的平均运行时间,并将其与指向关闭或过滤TCP端口的请求进行比较。通过提交相当少量的请求,攻击者可以映射网络并发现可能成为进一步攻击目标开放了哪些端口。

 

如何防御

 

 

 

如果已知允许的url列表,开发人员应该为应用程序实现允许的主机名或IP地址列表。url不应该根据拒绝列表进行验证,因为使用一些众所周知的技术很容易就能绕过这种防御方法。

如果HTTP和HTTPS是应用程序用来发出请求的唯一活动协议,那么开发人员应该禁用其他未使用的URL模式。

为了减少攻击者利用响应数据泄漏的风险,开发人员必须确保在向另一个服务器发送请求时,原始响应不会原样返回给客户机应用程序。

当发生SSRF时,主要的深度防御方法是降低对服务器的信任。这通常可以通过入站端(例如,接收请求的另一个服务器)的防火墙规则实现,但由于TCP的性质,在出站端实现防火墙规则要困难得多。



Tags:SSRF攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
安全技术研究- SSRF攻击
介绍服务器端请求伪造(SSRF)攻击是一种应用安全漏洞,恶意行为者可以操纵web应用程序上的参数来创建或控制来自存在漏洞的服务器的请求。攻击者通常使用这些漏洞来攻击那些...【详细内容】
2022-11-27  Search: SSRF攻击  点击:(364)  评论:(0)  加入收藏
通过DNS重绑定实施SSRF攻击
什么是DNS Rebinding?假设你是一台公网服务器,无数人会给你发来URL,要求你进行内容加载。那么在这海量请求中,会有不怀好意的人发送内网URL,要求你进行加载,这其中的风险难以言喻...【详细内容】
2019-11-19  Search: SSRF攻击  点击:(494)  评论:(0)  加入收藏
▌简易百科推荐
2023年最需要注意的九大安全威胁
2023年又是全球网络安全威胁形势持续严峻,在叠加了地缘政治、经济竞争的因素后,具有政府/组织背景的APT组织屡屡在网络功空间之中兴风作浪,而各种新兴技术的应用也催生了大量的...【详细内容】
2023-12-21    FreeBuf.COM  Tags:安全威胁   点击:(99)  评论:(0)  加入收藏
IP地址攻击与防范措施:维护网络安全的关键
IP地址是互联网通信的基本组成部分,然而,它也成为网络攻击的目标。本文将深入探讨IP地址可能面临的攻击方式,以及如何采取有效的防范措施来维护网络的安全。第一部分:IP地址攻击...【详细内容】
2023-12-19  IP数据云    Tags:IP地址   点击:(133)  评论:(0)  加入收藏
CSRF攻击:一种不可忽视的网络威胁
随着网络技术的飞速发展,网络安全问题日益凸显。其中,CSRF(Cross-siteRequestForgery,跨站请求伪造)攻击成为了一种常见的网络威胁,给企业和个人带来了严重的安全隐患。本文将详细...【详细内容】
2023-12-19  小青爱生活    Tags:CSRF攻击   点击:(122)  评论:(0)  加入收藏
2024年影响安全领域的五大技术趋势
即使对于我们这些在科技行业工作了几十年的人来说,过去12个月的变化速度也是惊人的。我们再次确信,技术创新不仅带来了巨大的机遇,也带来了比我们以前面临的更复杂的挑战,而且没...【详细内容】
2023-12-11    千家网  Tags:安全领域   点击:(146)  评论:(0)  加入收藏
网络安全工程师都要了解的勒索威胁新趋势
Zscaler 安全威胁实验室发布《2023 年全球勒索软件报告》中预测了未来将出现的7个勒索威胁新趋势。一、公共服务设施成为勒索软件攻击的目标增加。市政服务部门、执法部门、...【详细内容】
2023-11-16  网盾网络安全培训中心    Tags:网络安全   点击:(210)  评论:(0)  加入收藏
威胁情报趋势
威胁情报是指对各种威胁的收集、分析和推测,以便提前预防和应对威胁。随着技术的不断发展,威胁情报的趋势也在不断变化。本文将对当前的威胁情报趋势进行深入解析,并展望未来可...【详细内容】
2023-11-08  信安天途    Tags:威胁情报   点击:(209)  评论:(0)  加入收藏
如何防范生成式AI的钓鱼邮件攻击
今年ChatGPT火爆全网,近年来AI人工智能取得了长足的进步,给各行各业带来了革命性的变化。然而,与任何技术一样,总是有人试图利用它来达到恶意目的。如今,黑客正在使用一种名为Wor...【详细内容】
2023-10-26  区块软件开发  今日头条  Tags:钓鱼邮件   点击:(231)  评论:(0)  加入收藏
杭州亚运会大火背后,是网安和黑产的疯狂对抗
10月8日晚,第十九届亚运会在杭州圆满落幕,中国代表团以201枚金牌的佳绩耀居榜首,成为历届亚运会以来金牌数量首次突破200枚的国家。根据亚运会主新闻发言人毛根洪10月7日在杭州...【详细内容】
2023-10-12  互盟数据中心    Tags:网安   点击:(344)  评论:(0)  加入收藏
Web 安全之 HSTS 详解和使用
HSTS(HTTP Strict Transport Security) 是一种网络安全机制,可用于防范网络攻击,例如中间人攻击和 CSRF(Cross-Site Request Forgery)等攻击。本文将详细介绍 HSTS 的工作原理、应...【详细内容】
2023-09-27  路多辛  今日头条  Tags:HSTS   点击:(251)  评论:(0)  加入收藏
如何使用Noir从源代码检测攻击面
关于NoirNoir是一款功能强大的代码安全检测工具,在该工具的帮助下,广大研究人员能够轻松从源代码层面检测目标应用程序的潜在攻击面。功能介绍1、从源代码自动识别编程语言和...【详细内容】
2023-09-27    FreeBuf.COM  Tags:Noir   点击:(373)  评论:(0)  加入收藏
站内最新
站内热门
站内头条