Recebemos um relatório da Hackerone sobre o problema abaixo.
O que eu estou me perguntando é:
- Isso é um problema?
- Há alguma sugestão / algo que eu possa fazer a respeito?
Resumo:
Olá, encontrei um SSRF cego no endpoint
hxxps://xyz.com/postsPassos para Reproduzir:
- Faça login na sua conta em xyz.com
- Vá para mensagens privadas (haverá uma mensagem de boas-vindas do discobot deles)
- Ao enviar uma mensagem, carregue uma imagem e intercepte a solicitação no Burp
- No payload, altere a URL de upload da imagem para sua URL de canário
- O payload ficará assim:
raw= &unlist_topic=false&category=&topic_id=1659497&is_warning=false&whisper=false&archetype=regular&composer_open_duration_msecs=12597&featured_link=&shared_draft=false&draft_key=topic_1659497&reply_to_post_number=83&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][width]=5120&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][height]=2880&nested_post=true
6. Quando você enviar a solicitação, dois alertas de canário serão acionados ou verifique os logs do servidor, haverá uma solicitação feita pelo user-agent Ruby e outra de sua Instância de Computação AmazonImpacto
A vulnerabilidade permite que um invasor faça solicitações HTTP/HTTPS arbitrárias dentro da rede de uma instância do xyz.com.
Desta thread, parece que isso se deve ao comportamento do onebox Server-side request forgery vulnerability.
Também vi este relatório da Hackerone de anos atrás SSRF em upload de IMG via URL.
Obrigado!