注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

那些星星点点的微芒,终会成为燃烧生命的熊熊之光

 
 
 
 
 

日志

 
 

SSRF防御那些事儿  

2015-06-09 15:48:34|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
SSRF不做解释了,都知道。简单记录下:)
利用思路可以借鉴下 兰老板的利用SSRF探测strtus漏洞

防护
1. 最好是做隔离,定义好什么机器能访问什么业务,业务上有风险或者有使用开源框架的应用做隔离和agent监控(单独的);
2. 探测出来有请求内网环境直接干掉
tcp/ip提供三中私有地址:
10.0.0.0/8:10.0.0.0~10.255.255.255 
172.16.0.0/12:172.16.0.0~172.31.255.255 
192.168.0.0/16:192.168.0.0~192.168.255.255
JAVA 正则:
public boolean isInner(String ip)
{
    String reg = "(10|172|192)\\.([0-1][0-9]{0,2}|[2][0-5]{0,2}|[3-9][0-9]{0,1})\\.([0-1][0-9]{0,2}|[2][0-5]{0,2}|[3-9][0-9]{0,1})\\.([0-1][0-9]{0,2}|[2][0-5]{0,2}|[3-9][0-9]{0,1})";//正则
    Pattern p = Pattern.compile(reg);
    Matcher matcher = p.matcher(ip);
    return matcher.find();
}
2.1. 其中要考虑域名的情况,java下可以用getHostAddress方法把域名转成IP,然后再做判断;
2.2. 还有考虑跳转的情况,指向一个带有location的页面,当然location是个内网的地址。这时不跟谁做跳转即可。

参考
http://www.wooyun.org/bugs/wooyun-2015-099135
  评论这张
 
阅读(170)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017