请简述ssrf的原理、有哪些攻击方式及防御方法。
1、原理:
利用存在缺陷的web应用作为代理攻击远程和本地的服务器。
2、攻击方式:
攻击者想要访问主机B上的服务,但是由于存在防火墙或者主机B是属于内网主机等原因导致攻击者无法直接访问主机B。而服务器A存在SSRF漏洞,这时攻击者可以借助服务器A来发起SSRF攻击,通过服务器A向主机B发起请求,从而获取主机B的一些信息。
3、防御方式:
①
过滤返回的信息,如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
②统一错误信息,避免用户可以根据错误信息来判断远程服务器的端口状态。
③限制请求的端口,比如80,443,8080,8090。
④禁止不常用的协议,仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。
⑤使用DNS缓存或者Host白名单的方式。
发表于 2020-03-10 15:45:25
回复(0)
服务端请求伪造(SSRF)是指一种由攻击者构造形成由服务端发起请求的一个安全漏洞,一般情况下,SSRF攻击的目标都是从外网无法访问的内部系统,借助服务端发起伪造的请求,可以访问到与它相连而与外网隔离的内部系统。
利用方式
对服务器所在内网或本地进行端口扫描,获取服务器banner信息。
攻击运行在内网或本地的应用程序
对内网web应用进行指纹识别
利用跨协议通信技术攻击内网应用程序或web服务
利用file协议,dict协议,gropher协议,ftp协议等读取本地文件
通过请其大文件进行Dos攻击
防御方式
过滤返回信息,验证远程服务器对请求的响应,对于返回给用户的结果,在返回给用户之前先检查是否符合标准。
统一错误信息,避免用户可以通过错误信息判断服务器的端口状态。
进行端口限制,将端口限制为80,443等http常用端口
设立黑白名单限制内网IP
仅允许http/https协议,以防止类似file协议等导致的问题
对服务器所在内网或本地进行端口扫描,获取服务器banner信息。
攻击运行在内网或本地的应用程序
对内网web应用进行指纹识别
利用跨协议通信技术攻击内网应用程序或web服务
利用file协议,dict协议,gropher协议,ftp协议等读取本地文件
通过请其大文件进行Dos攻击
防御方式
过滤返回信息,验证远程服务器对请求的响应,对于返回给用户的结果,在返回给用户之前先检查是否符合标准。
统一错误信息,避免用户可以通过错误信息判断服务器的端口状态。
进行端口限制,将端口限制为80,443等http常用端口
设立黑白名单限制内网IP
仅允许http/https协议,以防止类似file协议等导致的问题
发表于 2021-07-12 15:54:02
回复(0)
SSRF 服务器先向用户发起请求获取某个数据,而非法用户伪造数据从而使得利用服务器高权限对系统敏感信息的访问。服务器对用户提供的 URL 或调用远程服务器的返回信息没有进行验证及过滤,导致传入服务器的数据可能存在其他非正常行为 而且这类非正常行为会被执行和回显。
SSRF防护:
1 )双向过滤用户端参数,严格限定输入参数、返回结果的数据类型及内容
2 )限制请求行为端口,井针对具有服务器请求业务的网络范围进行严格划分
3 )针对内网地址添加黑\白名单,参考以上实例
4)尽可能实现业务集中化调用,并尽量减少这类直接发起主动请求的业务行为
存在漏洞,而漏洞却无法被利用也是一种防护。
2 )限制请求行为端口,井针对具有服务器请求业务的网络范围进行严格划分
3 )针对内网地址添加黑\白名单,参考以上实例
4)尽可能实现业务集中化调用,并尽量减少这类直接发起主动请求的业务行为
存在漏洞,而漏洞却无法被利用也是一种防护。
发表于 2020-08-08 12:22:11
回复(0)
问题信息
相关试题
-
扫描二维码,关注牛客网
- 意见反馈
-
下载牛客APP,随时随地刷题
扫一扫,把题目装进口袋
- 求职之前,先上牛客
-
扫描二维码,进入QQ群
扫描二维码,关注牛客公众号
- 公司地址:北京市朝阳区北苑路北美国际商务中心K2座一层-北京牛客科技有限公司
- 联系方式:010-60728802 投诉举报电话:010-57596212(朝阳人力社保局)
- 牛客科技© All rights reserved admin@nowcoder.com
- 京ICP备14055008号-4 增值电信业务经营许可证 营业执照 人力资源服务许可证
-
京公网安备
11010502036488号
