R's Hacking Daily Log

SSRF with whitelist-based input filters Lab(3)에서는 Blacklist 기반의 input filter를 적용한 사례를 살펴보았다. 이번 Lab에서는 그와 반대로 whitelist 기반으로 input filter가 적용된다고 한다. Blacklist가 list에 해당하는 경우를 차단하는 식이라면 Whitelist는 list에 해당하는 경우만 허용하는 식으로 동작한다. whitelist 기반의 input filter가 동작하는 경우 1) @ 기호를 사용해 hostname 앞에 Credential을 작성할 수 있다. : 흔히 말하는 이메일의 형태를 생각하면 된다. http://expeted-host:fakeCred@evil-host 2) # 기호로 URL fragment를 ..

Circumventing common SSRF defenses 지금까지 살펴보았던 Lab은 기본적인 SSRF를 실행해 본 느낌이었다. 이번 Lab에서는 조금 다르게 SSRF 공격에 대한 방어가 이루어진다고 한다. SSRF를 예방하기 위한 여러 방법이 존재하겠지만 이번에 살펴볼 Lab에서는 Blacklist 기반의 input filter를 사용한다. SSRF with blacklist-based input filters 몇몇 어플리케이션에서는 SSRF 공격을 예방하기 위해서 1) /admin과 같은 민감한 URL 2) localhost & 127.0.0.1과 같은 hostname을 포함하는 input 을 차단한다고 한다. 1 & 2의 경우가 차단된다고 할 때, 127.0.0.1의 alternative IP..

Against other back-end systems 두 번째로 살펴볼 케이스는 사용자가 직접 연결할 수 없는 다른 백엔드 시스템과 서버가 상호 작용하는 경우이다. 이런 경우에는 private IP를 사용하는 경우가 많은 데 백엔드 시스템은 일반적으로 네트워크 토폴로지에 의해 보호되기 때문에 보안 상태가 약한 경우가 많다고 한다. ** 이때 서버와 시스템은 서로 신뢰 관계에 있기 때문에 악의적인 요청(etc. 민감한 데이터)이라 할지라도 아무 생각 없이 처리해줄 것이다. Lab - Basic SSRF against another back-end system 어떤 application에서 http://192.168.0.68/admin이라는 url로 백엔드 관리 인터페이스에 접근한다고 한다. POST /p..

Lab - Basic SSRF against the local server ) Lab에 들어가 보면 shopping applicaiton 답게 이런저런 아이템을 볼 수 있다. 그중 하나를 선택해서 들어가 보면 하단에 Check stock 버튼이 눈에 들어오게 된다. 지점을 정하고 버튼을 누르면 사진에서와 같이 재고가 얼마나 남았는지 출력해 준다. 이때의 packet을 살펴보면 stockApi 내용이 포함된 post method의 요청이 만들어지는 걸 알 수 있다. Lab의 목표는 /admin page로 접근해 carlos 계정을 삭제하는 것이기 때문에 /localhost/admin page 경로로 내용을 변경해 보도록 하자! 이렇게 되면 원래 재고가 출력되는 부분에 /localhost/admin page..

Server Side Request Forgery : SSRF Server Side Request Forgery란? 서버 측 application이 의도하지 않은 곳으로 request를 보내도록 유도할 수 있는 취약점을 의미한다. 전형적으로 SSRF는 :) 조직 인프라 속에 있는 내부 전용 서비스에 연결하도록 :) 임의의 외부 시스템에 연결하도록 하여 민감한 데이터를 추출하거나 임의 명령을 실행하는 등의 후속 공격이 이루어질 수 있다. SSRF attacks against the server itself 내부 서버 자체에 SSRF 공격을 시도하는 경우, 공격자는 application을 호스팅 하고 있는 서버로 다시 HTTP request가 보내지도록 packet을 조작할 수 있다. 사용자가 아이템의 재고..