《白帽子讲 Web 安全》之服务端请求伪造（SSRF）深度剖析：从攻击到防御

引言

在当今复杂的网络环境中，Web 应用安全犹如一座时刻需要精心守护的堡垒。随着技术的不断演进，各类安全威胁层出不穷，其中服务端请求伪造（SSRF）正逐渐成为令开发者与安全从业者头疼的一大难题。吴翰清在《白帽子讲 Web 安全》中对 SSRF 进行了深入探讨，接下来让我们详细梳理这一安全隐患的相关知识。

SSRF 攻击简介

定义

服务端请求伪造（Server Side Request Forgery，SSRF）本质上是一种严重的 Web 应用漏洞。攻击者通过精心构造特定的参数值，诱使 Web 应用将外部输入参数当作 URL 来处理，进而驱使服务端去访问那些服务器程序原本预期之外的 URL。这些输入参数形式多样，既可以是不完整的 URL，也能是单纯的域名、IP 地址或者端口值等。

示例

以提供翻译服务的网站为例，正常情况下用户提交网页 URL 供网站进行翻译操作。但倘若该网站存在 SSRF 漏洞，攻击者便有机可乘。他们提交恶意 URL，网站服务器在毫无察觉的情况下，按照指令访问该恶意 URL，甚至可能因此访问到内网资源，导致敏感信息泄露等严重后果。比如攻击者提交 “http://192.168.1.100/internal_secret_file”，若服务器未做有效防范，就会尝试访问内网 IP 对应的敏感文件。

SSRF 漏洞成因

1.用户输入处理不当

许多 Web 应用在处理用户输入时过于草率。当使用用户输入来构造 HTTP 请求的 URL 时，却没有进行全面且严格的验证与过滤。像是未仔细检查 URL 所采用的协议是否合法，是常见的 HTTP/HTTPS，还是潜藏风险的 file、gopher 等协议；对域名的合法性以及端口值是否处于合理范围也未加以核实。以 Python 的 Flask 框架为例，如果代码编写如下：

from flask import Flask, requestapp = Flask(__name__)@app.route('/fetch')
def fetch():url = request.args.get('url')# 这里没有对url进行任何验证就直接使用response = requests.get(url)return response.text

如此一来，用户输入的任何 URL 都可能被服务器访问，极大地增加了 SSRF 风险。

2.使用未经验证的第三方库或框架

在开发过程中，不少开发者依赖各种第三方库或框架来加快开发进度。然而，部分未经充分安全验证的库或框架，在处理 URL 请求环节存在安全漏洞，极易被攻击者利用。例如某些老旧版本的 HTTP 请求库，在处理 URL 重定向等操作时，没有对目标 URL 进行严格检查，攻击者可借此构造恶意请求，突破应用的安全防线。

3.缺乏安全配置

服务器自身的配置若存在缺陷，同样会为 SSRF 攻击敞开大门。比如服务器未对可访问的 URL 范围做出明确限制，或者未严格检查请求来源，使得攻击者能够轻易绕过安全限制。以 Nginx 服务器为例，如果配置文件中没有设置合理的访问控制规则，像以下错误配置：

server {listen 80;server_name example.com;location / {proxy_pass $request_uri;# 这里没有对proxy_pass的目标进行任何限制}
}

攻击者就可以通过精心构造请求，让服务器访问任意他们指定的 URL。

SSRF 攻击进阶

1.攻击内网应用

攻击者一旦发现 Web 应用存在 SSRF 漏洞，便会将目标对准内网应用或服务。通过构造特殊的 URL，诱使服务器去访问内网的 Redis、MySQL 等数据库服务。

例如利用 file 协议，攻击者可以构造类似 “file:///etc/passwd” 的 URL，若服务器权限配置不当，就会读取服务器本地的敏感文件。

利用 gopher 协议攻击 Redis 服务时，攻击者构造的 URL 可以向 Redis 服务器发送恶意指令，如修改数据库内容、获取敏感数据等。假设 Redis 服务在内网 IP 为 192.168.1.101，端口为 6379，攻击者构造的 gopher URL 可能如下：

gopher://192.168.1.101:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$4%0d%0amalic%0d%0a

这条 URL 会尝试在 Redis 中设置恶意数据。

2.端口扫描

端口扫描也是攻击者利用 SSRF 漏洞的常见手段。通过向不同的端口发送请求，并根据响应判断端口是否开放，攻击者能够探测内网的服务和端口信息。攻击者可以编写脚本，利用 SSRF 漏洞构造一系列请求来扫描内网端口。例如使用 Python 编写一个简单的端口扫描脚本，结合 SSRF 漏洞向不同端口发送请求：

import requestsdef scan_port(url, port):target_url = f"{url}:{port}"try:response = requests.get(target_url)if response.status_code == 200:print(f"端口 {port} 开放")except requests.RequestException:passbase_url = "http://vulnerable_server/ssrf_endpoint?url="
for port in range(1, 1025):scan_port(base_url, port)

通过这种方式，攻击者可以为后续更深入的攻击做准备。

3.攻击非 Web 应用

SSRF 的攻击范围并不局限于 Web 应用，基于网络协议的其他服务，如 FTP、SMTP 等同样可能成为受害者。攻击者可以构造符合相应协议的 URL，借助 SSRF 漏洞与这些服务进行交互并执行恶意操作。例如构造一个针对 FTP 服务的 URL“ftp://attacker_server:21”，如果服务器对该 URL 请求未做限制，攻击者可能通过 FTP 服务上传恶意文件、获取敏感信息等。

SSRF 绕过技巧

1.绕过限制访问内网

为突破服务器对 URL 的限制从而访问内网资源，攻击者想出了多种特殊方法。DNS 重绑定技术是其中之一，攻击者通过控制 DNS 服务器，使域名在不同时间解析为不同 IP 地址。先让域名解析为外网可访问的 IP 地址，绕过服务器对访问内网 IP 的限制；在获取服务器连接后，再将域名解析为内网 IP 地址，从而实现对内网资源的访问。另外，攻击者还会使用特殊的 URL 编码和变形方式绕过过滤。例如将 “.” 编码为 “%2e”，将 “/” 编码为 “%2f” 等，以此绕过服务器对 URL 格式的简单过滤规则。

2.利用协议特性

不同的网络协议具有各自独特的特性，攻击者善于利用这些特性来绕过安全检测。以 HTTP 协议中的 30x 重定向为例，攻击者可以构造一个包含重定向指令的 URL，将服务器的请求重定向到内网地址。假设攻击者控制了一个恶意网站 “evil.com”，他们构造的 URL 可能是 “http://vulnerable_server/ssrf_endpoint?url=http://evil.com/redirect?target=http://192.168.1.100”，当服务器访问evil.com时，evil.com返回 302 重定向指令，将服务器请求重定向到内网 IP 地址 192.168.1.100，从而绕过服务器原本对直接访问内网地址的限制。

SSRF 防御方案

1.使用 URL 黑名单或白名单

黑名单

采用黑名单机制，即限制访问特定的 URL。然而，这种方式存在较大局限性，因为难以穷举所有危险的 URL，而且攻击者总能通过各种手段绕过黑名单限制，所以实际安全性较低。例如攻击者可以通过对危险 URL 进行变形、编码等方式，使其不在黑名单范围内。

白名单

相较而言，白名单机制更为可靠。它只允许访问特定的、经过严格验证的 URL。在实际应用中，明确指定允许访问的域名或 IP 地址范围是关键。例如在 Java 的 Spring 框架中，可以通过配置文件设置允许访问的 URL 白名单：

security.ssrf.whitelist=example.com,192.168.1.0/24

这样服务器只会访问白名单内的 URL，大大降低了 SSRF 攻击风险。

2.验证输入的 URL

对用户输入的 URL 进行严格验证是防御 SSRF 的重要一环。需要检查 URL 所采用的协议，只允许安全的协议，如 HTTP 或 HTTPS 协议，禁止 file、gopher 等可能被用于恶意攻击的协议。同时，对域名和 IP 地址的合法性也要进行核实。例如使用 Python 的urllib.parse库验证 URL：

from urllib.parse import urlparsedef validate_url(url):result = urlparse(url)if result.scheme not in ['http', 'https']:return Falsetry:# 验证域名或IP地址的合法性socket.gethostbyname(result.netloc.split(':')[0])return Trueexcept socket.gaierror:return False

3.限制请求的端口和协议

明确限制服务器可以访问的端口和协议，是减少攻击面的有效手段。禁止服务器访问不必要的端口，如一些常见的敏感端口，像 Redis 的 6379 端口、MySQL 的 3306 端口等。同时，只允许使用必要的协议，避免启用可能被攻击者利用的协议。例如在服务器配置文件中设置只允许 HTTP 和 HTTPS 协议访问特定端口：

server {listen 80;server_name example.com;location / {proxy_pass http://backend_server;proxy_http_version 1.1;proxy_set_header Connection "";# 限制只允许HTTP和HTTPS协议if ($scheme!~ ^(http|https)$) {return 403;}# 限制只允许访问特定端口，如80和443if ($server_port!~ ^(80|443)$) {return 403;}}
}

4.使用 DNS 解析控制

对 URL 中的域名进行 DNS 解析，并检查解析后的 IP 地址是否合法，能够有效防止通过 DNS 重绑定等技术绕过限制。在服务器端获取 URL 中的域名后，先进行 DNS 解析，然后对比解析得到的 IP 地址是否在允许范围内。例如在 Node.js 中可以使用dns模块进行 DNS 解析验证：

const dns = require('dns');
const url = require('url');function validateUrlWithDns(urlStr) {const parsedUrl = url.parse(urlStr);return new Promise((resolve, reject) => {dns.lookup(parsedUrl.hostname, (err, address) => {if (err) {reject(err);} else {// 假设允许的IP范围是192.168.1.0/24const allowedRange = '192.168.1.0/24';if (isInRange(address, allowedRange)) {resolve(true);} else {reject(new Error('IP地址不在允许范围内'));}}});});
}function isInRange(ip, range) {const [start, end] = range.split('/')[1] === '32'? [ip, ip] : getRange(range);return ip >= start && ip <= end;
}function getRange(cidr) {const parts = cidr.split('/');const ip = parts[0].split('.').reduce((acc, part) => acc * 256 + parseInt(part, 10), 0);const bits = parseInt(parts[1], 10);const mask = (0xffffffff << (32 - bits)) >>> 0;const start = ip & mask;const end = start | ~mask;return [start, end];
}

5.记录和监控

记录所有的请求和响应，对防御 SSRF 至关重要。通过详细记录，便于及时发现异常请求。同时，对服务器的网络访问进行实时监控，一旦察觉到可疑的 SSRF 攻击行为，能够迅速采取措施。例如使用日志管理工具，如 ELK（Elasticsearch、Logstash、Kibana）组合，将服务器的请求和响应日志收集到 Elasticsearch 中，通过 Logstash 进行日志处理和过滤，再利用 Kibana 进行可视化展示和分析。一旦发现大量指向内网 IP 的请求或者异常的 URL 请求，安全人员可以及时介入调查并采取相应防御措施。

小结

服务端请求伪造（SSRF）作为近年来日益猖獗的 Web 安全风险，给 Web 应用的安全带来了巨大挑战。攻击者凭借这一漏洞，能够肆意访问内网资源、进行端口扫描等恶意操作，严重威胁数据安全与系统稳定。为有效防御 SSRF，我们需综合运用多种策略。

从输入验证层面，严格把关用户输入的 URL，确保其合法性；采用白名单机制，精准限定服务器可访问的 URL 范围；

在网络层面，限制请求的协议和端口，减少攻击面；借助 DNS 解析控制，防范 DNS 重绑定等绕过手段；同时，强化监控与日志记录，以便及时察觉并处置潜在攻击。只有全方位、多层次地构建防御体系，持续关注安全动态，不断优化防御策略，才能在这场与 SSRF 的对抗中，守护好 Web 应用的安全，为用户营造可靠的网络环境。喜欢就点点赞和关注评论一起进步呗