FixVibe
Covered by FixVibehigh

Badanie podatności: SSRF i zgodność nagłówka zabezpieczeń

W tym artykule badawczym omówiono fałszowanie żądań po stronie serwera (SSRF) i znaczenie zgodności nagłówków zabezpieczeń HTTP. Korzystając ze spostrzeżeń z PortSwigger i Mozilli, badamy, w jaki sposób automatyczne skanowanie identyfikuje te luki i w jaki sposób FixVibe może wdrożyć podobne możliwości wykrywania.

CWE-918

Wpływ

Fałszerstwo żądań po stronie serwera (SSRF) to krytyczna luka w zabezpieczeniach, która umożliwia osobie atakującej nakłonienie aplikacji po stronie serwera do wysyłania żądań do niezamierzonej lokalizacji [S1]. Może to prowadzić do narażenia wrażliwych usług wewnętrznych, nieautoryzowanego dostępu do punktów końcowych metadanych w chmurze lub ominięcia zapór sieciowych [S1].

Główna przyczyna

SSRF zwykle występuje, gdy aplikacja przetwarza adresy URL dostarczone przez użytkownika bez odpowiedniej weryfikacji, co pozwala na użycie serwera jako serwera proxy dla złośliwych żądań. [S1]. Poza aktywnymi wadami, na ogólny stan bezpieczeństwa witryny duży wpływ mają konfiguracje nagłówka HTTP [S2]. Uruchomione w 2016 roku Obserwatorium HTTP Mozilli przeanalizowało ponad 6,9 miliona witryn internetowych, aby pomóc administratorom wzmocnić ochronę przed tymi powszechnymi zagrożeniami poprzez identyfikację i wyeliminowanie potencjalnych luk w zabezpieczeniach [S2].

Jak FixVibe to testuje

FixVibe obejmuje już obie części tego tematu badawczego:

  • Potwierdzenie bramkowanego SSRF: active.blind-ssrf działa tylko w ramach zweryfikowanych aktywnych skanów. Wysyła ograniczone kanary wywołania zwrotnego poza pasmem do parametrów w kształcie adresu URL i nagłówków istotnych dla SSRF wykrytych podczas indeksowania, a następnie zgłasza problem tylko wtedy, gdy FixVibe odbierze wywołanie zwrotne powiązane z tym skanowaniem.
  • Zgodność nagłówków: headers.security-headers pasywnie sprawdza nagłówki odpowiedzi witryny pod kątem tych samych elementów sterujących wzmacniających działanie przeglądarki, co podkreślają recenzje w stylu Obserwatorium, w tym CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy i Polityka uprawnień.

Sonda SSRF nie wymaga żądań destrukcyjnych ani uwierzytelnionego dostępu. Jest ograniczony do zweryfikowanych celów i raportuje konkretne dowody wywołania zwrotnego, a nie zgadywanie na podstawie samych nazw parametrów.