Drucksache: PHP Magazin 3.2015 - Server-Side Request Forgery
Im PHP Magazin 3.2015 ist ein Artikel über Server-Side Request Forgery erschienen: Was ist SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein Angriff?
Das Thema dieses Artikels ist eine Schwachstelle und ein Angriff, der oft nicht weiter beachtet wird. Ist diese Missachtung einer möglichen Gefahr gerechtfertigt, oder sollte man vor den Angriffen nicht doch besser auf der Hut sein?
Das Fazit ist eindeutig: SSRF-Angriffe können sehr gefährlich sein. Und das nicht nur für andere Server im Internet oder im lokalen Netz Ihres Webservers, sondern auch für Ihren Server selbst.
Ein Beispiel für so eine Selbstgefährdung ist eine
SSRF-Schwachstelle im Plex Media Server:
/system/proxy
prüfte Requests nicht authentifizierter
Benutzer nicht korrekt, so dass die darüber beliebige HTTP-Requests
senden konnten. Indem ein Angreifer Requests an 127.0.0.1 sendete, konnte
er die Authentifizierung umgehen und Befehle mit Administrator-Rechten
ausführen
Video).
Sie sehen also: Es gibt gute Gründe, die Bedrohung durch SSRF ernst zu nehmen. Und daher darauf zu achten, dass Ihrer Webanwendung beim Verarbeiten von URLs keine unerwünschten URL untergeschoben werden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "About Security #127: Cross-Site Request Forgery: Einführung" (auf archive.org)
- [2] Norm Hardy: "The Confused Deputy"
- [3] Common Weakness Enumeration: CWE-918: Server-Side Request Forgery (SSRF)
- [4] Danijel; MaXoNe WebApp Security Blog: "Bug bounty : marketplace.mozilla.org server side request forgery vulnerability."
- [5] HackerOne Bug #4461 Server Side Request Forgery
- [6] Alexander Bolshev, Gleb Cherbov; Black Hat USA 2014: "ICSCorsair: How I Will PWN Your ERP Through 4-20 mA Current Loop"
- [7] Deral Heiland; ShmooCon 2008: "Web Portals: Gateway To Information, Or A Hole In Our Perimeter Defenses" (Präsentation als PPT)
- [8] Alexander Polyakov, Dmitry Chastuhin; Black Hat USA 2012: "SSRF vs. Business Critical Applications"
- [9] Jeremiah Grossman, WhiteHat Security Blog: "Top Ten Web Hacking Techniques of 2012"
- [10] Vladimir Vorontsov, Alexander Golovko; Hack in the Box Amsterdam 2013: "SSRF PWNs: New Techniques and Stories"
- [11] Vladimir Vorontsov, Alexander Golovko; ZeroNights Conference 2012: "SSRF attacks and sockets: smorgasbord of vulnerabilities"
- [12] Vladimir Vorontsov, Alexander Golovko; ZeroNights Conference 2012: "SSRF attacks and sockets: smorgasbord of vulnerabilities" (Präsentation als PDF)
- [13] OnSec: "SSRF bible. Cheatsheet"
- [14] Exploit-DB: "Plex Media Server 0.9.9.2.374-aa23a69 - Multiple Vulnerabilities"
- [15] SEC Consult Unternehmensberatung GmbH: Video "Authentication bypass (SSRF) in Plex Media Server" auf YouTube
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 1.16 - XML-Sicherheit - XXE, XSLT und etwas SSRF
Vorschau anzeigen