FixVibe
Covered by FixVibehigh

Ymchwil Agored i Niwed: SSRF a Chydymffurfiaeth Pennawd Diogelwch

Mae'r erthygl ymchwil hon yn archwilio Ffugio Cais Ochr Gweinyddwr (SSRF) a phwysigrwydd cydymffurfio â phennawd diogelwch HTTP. Gan ddefnyddio mewnwelediadau gan PortSwigger a Mozilla, rydym yn archwilio sut mae sganio awtomataidd yn nodi'r gwendidau hyn a sut y gallai FixVibe weithredu galluoedd canfod tebyg.

CWE-918

Effaith

Mae Ffugio Cais Ochr y Gweinydd (SSRF) yn fregusrwydd hanfodol sy'n caniatáu i ymosodwr gymell cymhwysiad ochr y gweinydd i wneud ceisiadau i leoliad anfwriadol [S1]. Gall hyn arwain at ddatgelu gwasanaethau mewnol sensitif, mynediad heb awdurdod i bwyntiau terfyn metadata cwmwl, neu at osgoi waliau tân rhwydwaith [S1].

Achos Gwraidd

Mae SSRF fel arfer yn digwydd pan fydd rhaglen yn prosesu URLau a gyflenwir gan ddefnyddwyr heb ddilysiad digonol, gan ganiatáu i'r gweinydd gael ei ddefnyddio fel dirprwy ar gyfer ceisiadau maleisus [S1]. Y tu hwnt i ddiffygion gweithredol, mae ei ffurfweddiadau pennawd HTTP [S2] yn dylanwadu'n drwm ar ystum diogelwch cyffredinol gwefan. Wedi'i lansio yn 2016, mae Arsyllfa HTTP Mozilla wedi dadansoddi dros 6.9 miliwn o wefannau i helpu gweinyddwyr i gryfhau eu hamddiffynfeydd yn erbyn y bygythiadau cyffredin hyn trwy nodi a mynd i'r afael â gwendidau diogelwch posibl [S2].

Sut mae FixVibe yn ei brofi

Mae FixVibe eisoes yn ymdrin â dwy ran y pwnc ymchwil hwn:

  • Cadarnhad SSRF gate: Dim ond y tu mewn i sganiau gweithredol dilys y mae active.blind-ssrf yn rhedeg. Mae'n anfon caneris galw'n ôl y tu allan i'r band ffiniol i baramedrau siâp URL a phenawdau perthnasol SSRF a ddarganfuwyd yn ystod cropian, yna'n adrodd y mater dim ond pan fydd FixVibe yn derbyn galwad yn ôl sy'n gysylltiedig â'r sgan hwnnw.
  • Cydymffurfiaeth â phennawd: Mae headers.security-headers yn gwirio penawdau ymateb y wefan yn oddefol ar gyfer yr un rheolyddion caledu porwr a bwysleisiwyd gan adolygiadau arddull Arsyllfa, gan gynnwys CSP, HSTS, X-Frame-Contents, X-Frame-Options Polisi Atgyfeirio, a Chaniatadau-Polisi.

Nid oes angen ceisiadau dinistriol na mynediad wedi'i ddilysu ar gyfer y stiliwr SSRF. Fe'i cwmpasir i dargedau wedi'u dilysu ac mae'n adrodd ar dystiolaeth bendant o alw'n ôl yn hytrach na dyfalu o enwau paramedr yn unig.