Recibimos un informe de Hackerone sobre el problema a continuación.
Lo que me pregunto es:
- ¿Es esto un problema?
- ¿Hay alguna sugerencia / algo que pueda hacer al respecto?
Resumen:
Hola, he encontrado un SSRF ciego en el endpoint
hxxps://xyz.com/postsPasos para reproducir:
- Inicia sesión en tu cuenta en xyz.com
- Ve a mensajes privados (habrá un mensaje de bienvenida de su discobot)
- Al enviar un mensaje, carga una imagen e intercepta la solicitud en burp
- En la carga útil, cambia la URL de carga de imagen a tu URL de canario
- La carga útil se verá así
raw= &unlist_topic=false&category=&topic_id=1659497&is_warning=false&whisper=false&archetype=regular&composer_open_duration_msecs=12597&featured_link=&shared_draft=false&draft_key=topic_1659497&reply_to_post_number=83&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][width]=5120&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][height]=2880&nested_post=true
6. Cuando envíes la solicitud, se activarán dos alertas de canario o revisa los registros del servidor, habrá una solicitud realizada por el agente de usuario de Ruby y otra de su instancia de Amazon ComputeImpacto
La vulnerabilidad permite a un atacante realizar solicitudes HTTP/HTTPS arbitrarias dentro de la red de una instancia de xyz.com.
De este hilo, parece que esto se debe al comportamiento de “onebox” Server-side request forgery vulnerability.
También vi este informe de Hackerone de hace años SSRF en carga de IMG a través de URL.
¡Gracias!