私聊发送图片时存在盲SSRF漏洞

bjlarouche · 2022 年2 月 14 日 18:46

我们收到了关于以下问题的 Hackerone 报告。

我想知道：

这是一个问题吗？
有什么建议/我可以采取的措施吗？

摘要：

你好，我在 hxxps://xyz.com/posts 端点上发现了一个盲 SSRF。

复现步骤：

在 xyz.com 上登录你的账户

前往私信（他们会有一个来自 discobot 的问候消息）

发送消息时，上传一张图片并在 burp 中拦截请求

在 payload 中将图片上传 URL 更改为你的 canary URL

payload 将如下所示：

raw=![svg_image|690x388]>(hxxp://canarytokens.com/tags/images/terms/ctw75qckq1htf6n3rt9asrpn3/submit.aspx) &unlist_topic=false&category=&topic_id=1659497&is_warning=false&whisper=false&archetype=regular&composer_open_duration_msecs=12597&featured_link=&shared_draft=false&draft_key=topic_1659497&reply_to_post_number=83&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][width]=5120&image_sizes[hxxps://xyz.cloudfront.net/uploads/default/original/4X/c/a/9/ca90daba5408ce8b8693f3a5d58e537eb750e906.svg][height]=2880&nested_post=true

发送请求时，将触发两个 canary 警报，或者检查服务器日志，会有一个来自 Ruby 用户代理的请求和一个来自他们的 Amazon Compute Instance 的请求。

影响

该漏洞允许攻击者在 xyz.com 实例的网络内部发起任意 HTTP/HTTPS 请求。

从这个帖子来看，这似乎是由于 onebox 的行为导致的 https://meta.discourse.org/t/server-side-request-forgery-vulnerability/186996。
我还看到了几年前的这个 hackerone 报告 SSRF in upload IMG through URL。

谢谢！

david · 2022 年2 月 14 日 18:51

Discourse 会主动抓取帖子中包含的图片和 URL。我们已采取安全措施，确保这些请求无法指向服务器私有网络内的托管。收到对“金丝雀令牌”的 GET 请求并不意味着存在漏洞。

请随时将研究人员引导至我们的官方 HackerOne 项目。我们的政策涵盖此类报告：

system · 2022 年3 月 16 日 18:51

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

话题		回复	浏览量
Server-side request forgery vulnerability Support	3	1235	2021 年4 月 19 日
Missing images at Meta.discourse.org Site feedback	54	1879	2025 年3 月 18 日
Security checks on uploads Support	37	7462	2018 年12 月 2 日
Mixed content due to hotlinked images Support	14	1638	2023 年10 月 1 日
Broken images with 'embed truncate' disabled Support rss-polling	10	272	2022 年2 月 25 日

私聊发送图片时存在盲SSRF漏洞

摘要：

复现步骤：

影响

相关话题