SSRF检测技术详解与实战指南<\/h1>

1. SSRF检测概述<\/h2>
SSRF(Server-Side Request Forgery)是一种服务器端请求伪造漏洞，攻击者可以利用服务器作为代理发起内部网络请求。本文介绍了几种有效的SSRF检测方法和技术原理。<\/p>

2. 核心检测技术<\/h2>

2.1 Cracking the lens技术<\/h3>

原理<\/strong>：<\/p>

通过构造畸形的HTTP请求<\/li>
配合特殊的请求头<\/li>
使服务器处理请求时出现问题<\/li>
从而将请求导向自定义服务器<\/li> <\/ul>
关键点<\/strong>：<\/p>

在所有请求中添加Cache-Control: no-transform<\/code>头<\/li>
防止请求在传输过程中被处理或修改<\/li>
使用DNS平台接收请求验证漏洞<\/li> <\/ul> 2.2 Blind-SSRF检测技术<\/h3> 三种检测类型<\/strong>：<\/p> 增加特定请求头<\/strong><\/p> 示例请求头：WL-Proxy-Client-IP<\/code><\/li> 类似于X-Forwarded-For<\/code>，用于获取客户端IP<\/li> <\/ul> <\/li> 修改Host字段<\/strong><\/p> 利用服务器对Host字段处理不当的漏洞<\/li> <\/ul> <\/li> 对URL进行特殊处理<\/strong><\/p> 构造畸形URL利用解析漏洞<\/li> <\/ul> <\/li> <\/ol> URL处理漏洞示例<\/strong>：<\/p> Url backendURL =<\/span> "http:\/\/public-backend\/"<\/span>;<\/span> <\/span><\/span>String uri =<\/span> ctx.<\/span>getRequest<\/span>().<\/span>getRawUri<\/span>();<\/span> <\/span><\/span>URI proxyUri;<\/span> <\/span><\/span>try<\/span> {<\/span> <\/span><\/span> proxyUri =<\/span> new<\/span> URIBuilder(<\/span>uri)<\/span> <\/span><\/span> .<\/span>setHost<\/span>(<\/span>backendURL.<\/span>getHost<\/span>())<\/span> <\/span><\/span> .<\/span>setPort<\/span>(<\/span>backendURL.<\/span>getPort<\/span>())<\/span> <\/span><\/span> .<\/span>setScheme<\/span>(<\/span>backendURL.<\/span>getScheme<\/span>())<\/span> <\/span><\/span> .<\/span>build<\/span>();<\/span> <\/span><\/span>}<\/span> catch<\/span> (<\/span>URISyntaxException e)<\/span> {<\/span> <\/span><\/span> Util.<\/span>sendError<\/span>(<\/span>ctx,<\/span> 400<\/span>,<\/span> INVALID_REQUEST_URL);<\/span> <\/span><\/span> return<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>漏洞利用<\/strong>：<\/p> Apache HttpComponents 4.5.1版本不检测uri是否以\/<\/code>开头<\/li> 可构造http:\/\/public-backend@host<\/code>形式的请求<\/li> @<\/code>前的public-backend<\/code>被当作用户名<\/li> 实际请求发送到host<\/code>指定的地址<\/li> <\/ul> 3. 工具实现与改进<\/h2> 3.1 collaborator-everywhere工具<\/h3> 特点<\/strong>：<\/p> 专注于请求头注入<\/li> 自动关联请求与访问记录<\/li> 循环检测collaborator收到的请求<\/li> <\/ul> 局限性<\/strong>：<\/p> 注入点仅涵盖header字段<\/li> 情况覆盖不全面<\/li> 直接修改referer等字段可能导致请求出错<\/li> <\/ul> 3.2 Blind-SSRF工具<\/h3> 特点<\/strong>：<\/p> 补充了collaborator-everywhere的不足<\/li> 采用逐个请求头添加的方式<\/li> 一个请求包只增加一个字段<\/li> <\/ul> 局限性<\/strong>：<\/p> 不能直观展示漏洞情况<\/li> <\/ul> 3.3 Burp4SSRF改进方案<\/h3> 改进点<\/strong>：<\/p> 架构调整<\/strong>：<\/p> 从继承IProxyListener<\/code>改为IScannerCheck<\/code><\/li> 使用被动扫描方式减少对正常请求的影响<\/li> <\/ul> <\/li> 扫描逻辑<\/strong>：<\/p> 扫描逻辑位于Injector<\/code>的doPassiveScan<\/code>函数<\/li> injectPayloads<\/code>注入header和param到request<\/li> makeHttpRequest<\/code>函数发送请求<\/li> <\/ul> <\/li> 新增处理函数<\/strong>：<\/p> injectAnyWhere<\/code>函数处理Host和uri注入点<\/li> 对raw和host单独处理<\/li> 每个payload单独发送请求（因会不可逆影响请求体）<\/li> <\/ul> <\/li> <\/ol> 实现效果<\/strong>：<\/p> 覆盖更广的注入场景<\/li> 减少对正常请求的干扰<\/li> 更直观的漏洞展示<\/li> <\/ul> 4. 实际应用与结果<\/h2> 检测流程<\/strong>：<\/p> 发送构造的畸形请求<\/li> 监控DNS平台接收的请求<\/li> 关联触发请求与访问记录<\/li> 验证SSRF漏洞存在<\/li> <\/ol> 典型结果<\/strong>：<\/p> 可能不会立即收到DNS请求<\/li> 后续时间段可能收到不同请求信息<\/li> 证明存在无回显SSRF风险<\/li> <\/ul> 5. 未来改进方向<\/h2> DNSLog稳定性<\/strong>：<\/p> Burp自带DNSLog有时不稳定<\/li> 考虑替代方案<\/li> <\/ul> <\/li> 请求查看问题<\/strong>：<\/p> 某些畸形请求无法通过Burp日志查看<\/li> 需要改进请求记录方式<\/li> <\/ul> <\/li> 功能扩展<\/strong>：<\/p> 增加更多注入场景<\/li> 提高检测准确性<\/li> 优化结果展示<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> SSRF检测需要结合多种技术手段，通过构造特殊请求、利用服务器解析漏洞、监控外部请求等方式综合判断。工具改进应注重减少对正常请求的影响，提高检测覆盖面和结果可读性。持续关注服务器组件更新和新的解析漏洞对提升检测能力至关重要。<\/p>

SSRF检测技术详解与实战指南<\/h1>

1. SSRF检测概述<\/h2> SSRF(Server-Side Request Forgery)是一种服务器端请求伪造漏洞，攻击者可以利用服务器作为代理发起内部网络请求。本文介绍了几种有效的SSRF检测方法和技术原理。<\/p>

2. 核心检测技术<\/h2>

3. 工具实现与改进<\/h2>

1. SSRF检测概述<\/h2>
SSRF(Server-Side Request Forgery)是一种服务器端请求伪造漏洞，攻击者可以利用服务器作为代理发起内部网络请求。本文介绍了几种有效的SSRF检测方法和技术原理。<\/p>