技术控

    今日:125| 主题:49390
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] 【技术分享】谈一谈如何在Python开发中拒绝SSRF漏洞

[复制链接]
深情浅爱 发表于 2016-9-30 15:52:04
196 4

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

【技术分享】谈一谈如何在Python开发中拒绝SSRF漏洞-1 (在线投稿,第三方,开发者,图片,技术)
  
   作者:  ph17h0n  
  稿费:500RMB(不服你也来投稿啊!)
  投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
  0x01 SSRF漏洞常见防御手法及绕过方法
  SSRF是一种常见的Web漏洞,通常存在于需要请求外部内容的逻辑中,比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经验证的URL,后端代码直接请求这个URL,将会造成SSRF漏洞。
  具体危害体现在以下几点上:
  URL为内网IP或域名,攻击者将可以通过SSRF漏洞扫描目标内网,查找内网内的漏洞,并想办法反弹权限

  URL中包含端口,攻击者将可以扫描并发现内网中机器的其他服务,再进一步进行利用

  当请求方法允许其他协议的时候,将可能利用gophar、file等协议进行第三方服务利用,如利用内网的redis获取权限、利用fastcgi进行getshell等

   特别是这两年,大量利用SSRF攻击内网服务的案例被爆出来,导致SSRF漏洞慢慢受到重视。这就给Web应用开发者提出了一个难题:  如何在保证业务正常的情况下防御SSRF漏洞?  
  很多开发者认为,只要检查一下请求url的host不为内网IP,即可防御SSRF。这个观点其实提出了两个技术要点:
  1.如何检查IP是否为内网IP

  2.如何获取真正请求的host

  于是,攻击者通过这两个技术要点,针对性地想出了很多绕过方法。
  0x02 如何检查IP是否为内网IP
  这实际上是很多开发者面临的第一个问题,很多新手甚至连内网IP常用的段是多少也不清楚。
  何谓内网IP,实际上并没有一个硬性的规定,多少到多少段必须设置为内网。有的管理员可能会将内网的IP设置为233.233.233.0/24段,当然这是一个比较极端的例子。
  通常我们会将以下三个段设置为内网IP段,所有内网内的机器分配到的IP是在这些段中:
  [code] 192.168.0.0/16 => 192.168.0.0 ~ 192.168.255.255
10.0.0.0/8 => 10.0.0.0 ~ 10.255.255.255
172.16.0.0/12 => 172.16.0.0 ~ 172.31.255.255[/code]  所以通常,我们只需要判断目标IP不在这三个段,另外还包括一个 127.0.0.0/8 段即可。
   很多人会忘记 127.0.0.0/8 ,认为本地地址就是 127.0.0.1 ,实际上本地回环包括了整个127段。你可以访问 http://127.233.233.233/ ,会发现和请求127.0.0.1是一个结果:

【技术分享】谈一谈如何在Python开发中拒绝SSRF漏洞-2 (在线投稿,第三方,开发者,图片,技术)
  
  所以我们需要防御的实际上是4个段,只要IP不落在这4个段中,就认为是“安全”的。
  网上一些开发者会选择使用“正则”的方式判断目标IP是否在这四个段中,这种判断方法通常是会遗漏或误判的,比如如下代码:
友荐云推荐




上一篇:16×32 RGB Matrix Panel Driver Shield Revision 1
下一篇:谷歌开放机器学习平台,惠及全球开发者
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

后狼人2 发表于 2016-10-4 15:33:50
酱油党莅临的地方,不仅仅是挽尊,不仅仅是消灭零回复,酱油所过暖意无边
回复 支持 反对

使用道具 举报

蕾蕾磊 发表于 2016-10-4 19:58:00
顶!顶!顶!
回复 支持 反对

使用道具 举报

魔术师 发表于 2016-10-8 13:51:55
什么是福,吃亏是福;什么是乐,知足常乐!
回复 支持 反对

使用道具 举报

雅芙 发表于 2016-10-12 22:42:47
让我们一起来次爽的...顶!
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表