본문 바로가기
24년 1학기 학교공부/네트워크웹보안

[NW] Server-side Request Forgery(SSRF)

부엉익 2024. 4. 22. 16:49

목차

    728x90
    반응형
    SMALL
    2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다.

     

     

     

     

    Server-side Request Forgery (SSRF)

    server-side 어플리케이션이 의도하지 않은 곳으로 request를 보내게 하도록 하는 공격이다. 공격자가 타겟 웹사이트에 직접적으로 request를 보내는 것이 아니라, 공기업이나 기관과 같은 큰 서버에서 접근 가능한 사이트로 먼저 request를 보낸 후, 기관 내의 신뢰관계를 이용해서 내부에서만 사용되는 서비스로 request를 보낸다.

    • 기관 인프라 내부에서만 사용되는 서비스로 접근할 수 있게 된다.
    • 공격자가 접근 가능한 임의의 외부 시스템에 서버가 연결되도록 강제한다.
    • 인증 자격증명과 같은 민감한 데이터가 유출될 수 있다.
    • Shellshock attack과 조합해서 임의의 명령을 실행시킬 수도 있다.

     

     

    Common SSRF Attack

    POST /product/stock HTTP/1.0
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 118


    stockAPi=http://stock.weliketoshop.net:8080/product/stock/check?productId=6&storeId=1

    어떤 server side 서비스에서 /product/stock으로 POST request를 보내고 있다.

     

    POST /product/stock HTTP/1.0
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 118


    stockApi=http://localhost/admin

    이때 공격자가 stockAPI를 위와 같이 설정해서 보내고자 한다. localhost는 서버 자체를 의미하므로, 서버의 admin 페이지에 접근하겠다는 request를 보내볼 수 있다.

     

    이때 input 체크를 하지 않고 방어 대책이 없는 경우 바로 데이터가 노출된다. 어찌됐든 사이트의 사용자가 /product/stock에 요청을 보내고 있으므로, 내부에서 내부로 요청이 온다고 인지하여 stockAPI 값을 검증하지 않은 것이다. 관리자 인터페이스에는 다른 port번호를 사용해 사용자가 직접적으로 접근할 수 없을 것이라고 가정했지만, 보안 구멍이 존재했을 수 있다.

     

     

    Bypassing SSRF Defenses

    127.0.0.1 IP를 필터링하는 경우.

    localhost IP가 127.0.0.1이기 때문에, request 내에 127.0.0.1 문자열이 존재하는 경우 필터링하는 방식으로 SSRF를 방어할 수 있다.

    1. 공격자가 127.0.0.1을 8진수 등으로 변환한거나, 같은 의미를 갖는 127.1로 사용하는 경우는 막지 못한다.

    2. 127.0.0.1 IP주소를 갖는 도메인이름을 등록해서 DNS 세팅 후 사용할 수 있다.

    3. URL을 인코딩하거나 대소문자 변형을 시킨다.

    4. http, https 등 다른 프로토콜을 사용한다.

     

    특정 URL을 필터링하는 경우

     

     

    Exploit Open Redirection

    정상적인 페이지에서 이후 결과에 따라 다른 페이지로 리다이렉션 해주는 경우가 있는데, 이를 악용할 수 있다.

    오픈 리다이렉션 시에 URL이 위와 같이 구성된다. 이때 후반의 url 혹은 path와 같이 리다이렉션 파라미터 값을 공격하고자 하는 페이지의 URL로 바꾼 URL을 사용자에게 제공함으로써 공격할 수 있다.

    위와 같은 방법으로 request에 리다이렉션 URL을 어드민 페이지로 설정해볼 수 있다.

     

     

     

    SSRF With XXE injection

    XXE(XML eXternal Entity) Injection 취약점이란, 트리 형태의 구조체인 XML 데이터를 제대로 검증 및 파싱하지 않고, 사용자가 제어하는 입력에서 XML 데이터를 가져올 때 발생한다. 이를 이용해서 XML 형식으로 request가 전송될 때 SSRF로 악용할 수 있다.

    XML은 커스텀 엔티티를 만들 수 있는데, XML의 커스텀 엔티티를 변수처럼 사용할 수 있다. 위 코드에서 [<!ENTITY gretting "Hello, ">] 부분이 하단 코드에서 &greeting으로 호출되는 곳에 해당 내용을 사용하겠다는 변수 정의이다.

    이때 위와 같이 정의하면 아래와 같이 코드가 변환되어, 해당 URL이나 파일에 접근할 수 있을지도 모른다.

     

    728x90
    반응형
    LIST
    저작자표시

    '24년 1학기 학교공부/네트워크웹보안' Related Articles

    티스토리툴바