什么是服务器端请求伪造 (SSRF)?
这是攻击者用来破坏 电子邮件安全 系统的常见入侵技术。 顾名思义,SSRF 攻击涉及攻击者伪造服务器请求。 在典型的 SSRF 攻击中,攻击者使服务器连接回自身 ,特别是连接到内部资源、服务或云提供商,然后使被操纵的 URL 执行恶意操作,例如访问和窃取机密文件,用恶意软件感染设备等等。通过这种独特的方法,SSRF 攻击可以轻松避开勒索软件保护系统。
服务器端请求伪造 (SSRF) 攻击是如何发起的?
服务器端请求伪造 (SSRF) 攻击未被检测到,因为它们使用以下步骤:
- 为了实施 SSRF 攻击 ,攻击者会寻找具有所有或其中一种功能的应用程序—— 将数据导出到 URL、从 URL 导入数据或从可以更改的 URL 读取数据。
- 一旦攻击者找到理想的应用程序,他们就会尝试通过使用与原始 URL 不同的 URL 来操纵 URL 的构造。
- 被操纵的 URL 向服务器发送请求,然后服务器端代码尝试读取该请求。
- 因此,攻击者可以从内部服务中读取数据,否则这些数据会被保密。
导致服务器端请求伪造 (SSRF) 攻击的原因是什么?
当应用程序的后端服务器中存在未修补的漏洞时,就会发生 SSRF 攻击。
这些攻击通常针对无法从外部网络访问的内部系统。 攻击者还使用 SSRF 访问只能通过被利用服务器的环回接口访问的服务。
攻击者必须部分或完全控制 Web 应用程序向其发送请求的服务 URL。 这里需要注意的一个因素是, SSRF 攻击仅在 Web 应用程序获取远程资源而没有验证或交叉检查用户提供的 URL ( 出站 SMTP )时发生。 此类漏洞使威胁参与者能够将虚假服务器请求发送到意外或永久目的地,而不会被 电子邮件安全 系统、VPN 或防火墙检测到。
服务器端请求伪造 (SSRF) 攻击的不同变体
尽管SSRF利用 了特定类别的漏洞,但攻击可以通过多种方式表现出来。 SSRF 攻击的一些常见变体如下:
- 特殊字符 :嵌入特殊字符的 URL,例如“#”、“?” 或 ‘*’ 可以快速注入恶意负载。 威胁参与者经常在 SSRF 攻击中使用这种技术将 URL 指向被认为是安全的资源 。
- 应用服务器 :另一种常见的攻击媒介以应用服务器为目标,其 URL 要求从本地主机返回信息。 此类攻击使服务器泄露其机密详细信息,攻击者可以轻松地利用这些信息对 电子邮件安全 。
- GET 请求 :一旦控制了 URL 功能,攻击者就会向 Internet 网站和服务器资源 (localhost) 发送 GET 请求。
- 内部资源 :部署 SSRF 攻击以从 Web 服务器请求内部网络资源或对内部 IP 运行端口扫描。 从内部来源请求的信息可能包括包含敏感客户、客户或员工数据的数据库,然后攻击者可以使用这些数据进行 鱼叉式网络钓鱼攻击 。
- URL 架构 开头, HTTP:// 或 HTTPS:// 但 URL 架构存储其他鲜为人知的 URL,攻击者可以使用这些 URL 访问内部网络或本地系统上的文件。
为什么 SSRF 攻击对电子邮件安全构成威胁?
如今的 Web 应用程序都是为了让用户的生活更直接,因此获取 URL 是一种常见且常用的功能。 然而,随着 Web 应用程序的这些进步,服务器端请求伪造攻击的风险也大大增加。 云服务及其复杂的架构进一步加剧了这个问题。 构成威胁的一些原因 电子邮件安全 :
- Java RMI 服务 :大多数 Java 安装都带有 Java RMI 服务(面向对象的远程过程调用机制),不幸的是,这些服务很 容易受到 SSRF 攻击 。 虽然 Java RMI 服务实现 可确保电子邮件安全 和抵御 SSRF 攻击,但通常会使用一些不安全的配置,从而使 RMI 服务的安全性易受攻击。 这个因素会引发对默认 RMI 组件(如 DGC、RMI 注册表、激活系统、RMI 端点(包括 JMX)和自定义远程对象)的攻击。
- VMWare 身份验证软件: 某些版本的 VMware 身份验证软件容易受到 SSRF 攻击,允许攻击者访问管理 JSON Web 令牌 (JWT)。 SSRF 错误(称为 CVE-2021-22056,严重性评分为 5.5)影响 VMware Workspace ONE Access,它提供 电子邮件安全服务 ,如 MFA、单点登录以及对 SaaS、Web 和其他移动应用程序的条件访问。
- 内部系统 :在 SSRF 攻击中,威胁参与者可以使用目标作为中介,将请求传递给第三个系统。 因此,第三方攻击者可以使用 SSRF 攻击来访问与 Internet 隔离的内部系统,以进行多种恶意活动。
如何在您的电子邮件安全系统中检测 SSRF 攻击?
您可以用来 检测 SSRF 攻击 是:
- 由于 SSRF 攻击利用易受攻击的应用程序,因此您必须在来自主机组织的看似真实的 URL 请求中寻找危险信号,因为它们可能会导致声誉受损和法律责任。
- 始终睁大眼睛以检测对 敏感配置 (如开放端口、服务器文件、云提供商元数据等)的未经授权的访问,因为发起 SSRF 攻击的目的是访问和破坏这些详细信息。
- 寻找对内部网络和活动(垃圾邮件、 BEC 攻击 、电子邮件转发等)的可疑访问,因为 SSRF 攻击的特点是内部端口扫描的破坏性特征。
确保电子邮件安全并防止 SSRF 攻击
分析了与服务器端请求伪造攻击相关的威胁后,以下是一些缓解措施:
白名单和黑名单
避免 SSRF 攻击的一种有效方法是将您需要访问的 DNS 或主机名列入白名单,并将 列入黑名单 看似可疑的那些 黑名单和白名单的策略因应用程序而异,并且基于业务需求,但它无疑是一种 强大的缓解 措施。
响应处理
您必须验证所有收到的回复。 在任何时候,来自服务器的原始响应正文请求都不应到达未经验证的客户端。 这样做 可确保最大限度地减少响应数据的泄漏 。
丢弃未使用的 URL 架构
由于 SSRF 攻击者以利用 URL 模式而闻名,因此最好的 预防措施 是禁用未使用的 URL 模式。 该操作确保攻击者不会利用 Web 应用程序使用 dict://、ftp://、file:/// 和 gopher:// 等风险模式发出请求。
内部服务认证
有些服务不需要身份验证,攻击者知道这一点。 他们非常迅速地对这些服务使用 SSRF 攻击。 因此,必须 启用身份验证 ,即使在本地网络上也是如此。
最后的话
虽然服务器端请求伪造 (SSRF) 攻击仍然没有 网络钓鱼 ,但它们作为一种闯入技术越来越受欢迎。 对服务器中的这个漏洞缺乏认识只会让对手的事情变得更容易 。 因此,Web 应用程序必须采取必要的预防措施(如拥有 MX 备份 、防火墙、定期更新服务器等)以确保 电子邮件安全 免受潜在的 SSRF 攻击。
声明:文章来源于网络。仅用于学习,请勿使用非法用途
浏览: 283