Анализатор обнаружил обращение к удаленному ресурсу без проверки предоставленного пользователем URL-адреса. Использование непроверенных внешних данных для формирования адреса может стать причиной возникновения Server-Side Request Forgery.
Уязвимости типа Server-Side Request Forgery выделены в отдельную категорию рисков в OWASP Top 10 Application Security Risks 2021: A10:2021-Server-Side Request Forgery.
Приведём пример:
void ServerSideRequestForgery()
{
var url = Request.QueryString["url"];
WebRequest request = WebRequest.Create(url);
WebResponse response = request.GetResponse();
using (Stream stream = response.GetResponseStream())
{
using (StreamReader reader = new StreamReader(stream))
{
....
}
}
response.Close();
} В данном примере 'url' может содержать заражённые данные, так как они приходят из внешнего источника. Из этого адреса формируется запрос, который будет выполнен от имени сервера. Он может быть отправлен на любой веб-ресурс или на сам сервер.
Таким образом, злоумышленник получает возможность совершать вредоносные действия, отправляя запросы к ресурсам, прямой доступ к которым у него отсутствует.
Пример скомпрометированных данных:
http://localhost/admin/delete?username=testSSRFПри выполнении запроса с таким адресом злоумышленник может удалить пользователя.
Также стоит заметить, что при борьбе с SSRF не стоит использовать запрещённый список или регулярные выражения. Злоумышленник может легко обойти эти ограничения:
http://2130706433/ = http://127.0.0.1
http://0x7f000001/ = http://127.0.0.1 Пример борьбы с SSRF с использованием проверки предоставленных данных:
string ServerSideRequestForgery()
{
var url = Request.QueryString["url"];
if (!whiteList.Contains(url))
return "Forbidden URL";
WebRequest request = WebRequest.Create(url);
....
} Данная диагностика классифицируется как:
|