Ipa
Ibeere Ibeere-ẹgbẹ Olupin (SSRF) jẹ ailagbara to ṣe pataki ti o fun laaye ikọlu lati fa ohun elo ẹgbẹ olupin kan lati ṣe awọn ibeere si ipo airotẹlẹ [S1]. Eyi le ja si ifihan ti awọn iṣẹ inu ifura, iraye si laigba aṣẹ si awọn aaye ipari metadata awọsanma, tabi fori awọn ogiri nẹtiwọki nẹtiwọki [S1].
Gbongbo Idi
SSRF maa nwaye nigbati ohun elo kan n ṣe ilana awọn URL ti olumulo ti pese laisi afọwọsi to pe, gbigba olupin laaye lati lo bi aṣoju fun awọn ibeere irira [S1]. Ni ikọja awọn abawọn ti nṣiṣe lọwọ, ipo aabo gbogbogbo ti aaye kan ni ipa pupọ nipasẹ awọn atunto akọsori HTTP rẹ [S2]. Ti ṣe ifilọlẹ ni ọdun 2016, Mozilla's HTTP Observatory ti ṣe atupale lori awọn oju opo wẹẹbu 6.9 milionu lati ṣe iranlọwọ fun awọn alabojuto lati mu awọn aabo wọn lagbara si awọn irokeke ti o wọpọ nipasẹ idamọ ati koju awọn ailagbara aabo ti o pọju [S2].
Bawo ni FixVibe ṣe idanwo fun rẹ
FixVibe ti bo awọn apakan mejeeji ti koko iwadi yii:
- Gated SSRF ìmúdájú *:
active.blind-ssrfnṣiṣẹ nikan inu wadi lọwọ sikanu. O nfiranṣẹ awọn iwe-ipe ipe ti o wa ni ita si awọn iwọn URL ti o ni apẹrẹ ati SSRF ti o ni ibatan ti a ṣe awari lakoko jijoko, lẹhinna ṣe ijabọ ọran naa nikan nigbati FixVibe gba ipe pada ti a so si ọlọjẹ yẹn. - Ibamu akọsori *:
headers.security-headerssọwedowo ṣayẹwo awọn akọle esi ti aaye naa fun awọn iṣakoso aṣawakiri-lile kanna ti tẹnumọ nipasẹ awọn atunwo aṣa Observatory, pẹlu CSP, HSTS, X-FFra Awọn aṣayan-Iru-Akoonu-X, Ilana-Itọkasi, ati Awọn igbanilaaye-Ilana.
Iwadii SSRF ko nilo awọn ibeere iparun tabi iraye si titọ. O ti wa ni opin si awọn ibi-afẹde ti o rii daju ati ṣe ijabọ ẹri ipe ẹhin nja kuku ju lafaimo lati awọn orukọ paramita nikan.