11.9 远程地址访问

Wordpress、phpcmsd等众多应用都有访问远程地址获取资源的功能,这个功能产生的漏洞叫做SSRF(Server-Side Request Forgery),我们在QQ消息中发送网页链接的时候,会显示出网页的标题和部分内容,这就说明腾讯的服务器有去访问我们发送的这个链接,那如果腾讯没有做地址限制,我们在聊天框里面发送一个腾讯内网的一个地址,那它再去访问的时候我们就能知道这是一个内网的什么系统,造成信息泄露,甚至内网漏洞利用,我们来看一个乌云网的例子:

缺陷编号:WooYun-2015-118052

漏洞标题:美丽说某处ssrf探测内网存活主机

相关厂商:美丽说

漏洞作者:玉林嘎

提交时间:2015-06-04 09:37

美丽说开发平台 http://center.open.meilishuo.com/app/createApp 有一个填写回调地址的地方,当填写的时候服务器会去访问这个地址是否有效,如图11-18所示。

图 11-18

如果有人恶意填个内网呢,先看看当填写一个不存在的地址时,页面会返回“回调地址检测失败”,如图11-19所示。

图 11-19

当地址存在时,则会返回“回调地址检测成功”,如图11-20所示,那我们就可以利用这个返回结果的差异来对比,批量扫描内网。

图 11-20

案例里面是HTTP协议的探测,实际上这个跟协议没有关系,之前也有厂商出现过连接远程MySQL服务同样的SSRF漏洞。

这类漏洞防御看起来好像没有什么难度,只要限制填写就可以,但是大部分厂商修复的时候应该不会考虑到短地址的问题,所以在修复之后仍然可以通过生成短链接来利用,建议修复的时候注意这点。