SSRF漏洞（原理、漏洞利用、修复建议）

介绍SSRF漏洞

SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的内部系统)。

SSRF漏洞原理

SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如，黑客操作服务端从指定URL地址获取网页文本内容，加载指定地址的图片等，利用的是服务端的请求伪造。SSRF利用存在缺陷的Web
应用作为代理攻击远程和本地的服务器。
主要攻击方式如下所示。

• 对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息。
• 攻击运行在内网或本地的应用程序。
• 对内网Web应用进行指纹识别，识别企业内部的资产信息。
• 攻击内外网的Web应用，主要是使用HTTP GET请求就可以实现的攻击(比如struts2、SQli等)。
• 利用file协议读取本地文件等。

SSRF漏洞利用

SSRF漏洞利用的测试地址: <http://127.0.0.1/ssrf.php?url= http://127.0.0.1/2.php>。页面ssrf.php实现的功能是获取GET参数URL，然后将URL的内容返回网页上。如果将请求的网址篡改为http://www.baidu.com，则页面会显示http://www.baidu.com的网页内容，如下图所示。

但是，当设置参数URL为内网地址时，则会泄露内网信息，例如，当url=192.168.0.1:80时，页面返回192.168.1.1的80端口，如图所示。

访问ssrf.php?url=file:///C:/Windows/win.ini即可读取本地文件，如图所示。

SSRF漏洞代码分析

在页面SSRF.php中，程序获取GET参数URL，通过curl init () 初始化curl组件后，将参数URL带入curl_setopt ($ch, CURLOPT_URL, $url) ，然后调用所以curl-exec请求该URL。由于服务端会将banner信息返回客户端，所以可以根据banner判断主机是否存在某些服务，代码如下。

<?php
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    curl_exec($ch);
    curl_close($ch);
}

$url = $_GET['url'];
curl($url);  
?>

SSRF漏洞修复建议

• 限制请求的端口只能为Web端口，只允许访问HTTP和HTTPS的请求。
• 限制不能访问内网的IP，以防止对内网进行攻击。
• 屏蔽返回的详细信息。