针对SSRF的防护方案,对漏洞利用环境分析后可知,CSRF漏洞与SSRF漏洞的主要区别在于伪造目标的不同。其次,两种角色(客户端、服务器端)主要实现的功能也有非常大的区别。
但从漏洞防护视角来看,其防护思路及方式非常相似,重点需要针对请求伪造的问题进行处理。因此,SSRF漏洞在防护方面需重点解决两个问题:
● 用户请求的合法性。
● 服务器行为的合规性。
针对这两种情况,有效的手段是在业务开展过程中针对业务的关键点进行重点内容过滤。相对CSRF漏洞防护方法来说,更推荐在SSRF防护方面优先利用各类黑白名单手段对用户输入的内容进行合法性识别,并且严格对用户输入参数进行格式及长度限制。
在CSRF漏洞防护中最有效的token防御机制,针对SSRF漏洞则效果较差。因为虽然SSRF漏洞重点针对服务器端的请求进行伪造,但是这个过程由攻击者自行控制,所以用户针对每次SSRF的漏洞利用均由其自行发起。可见,无需针对SSRF漏洞环境添加token机制来实现针对用户真实性的判断。
我们以获取内网URL信息的案例进行说明。原有业务流程设计要求用户应提交公开的网站内容,针对内网来说不能纳入到被推荐的序列。因此,上述漏洞利用的过程在业务逻辑层面请求并不合法,可利用正则表达式及黑名单的方式实现针对内网地址的过滤,以达到防护的效果。
