Уязвимость подделки серверных запросов

Мы получили электронное письмо от исследователя безопасности, обратившего наше внимание на проблему, описанную ниже. Я не являюсь экспертом по безопасности, поэтому не могу сказать, верно ли это утверждение или нет. Я переслал это в службу поддержки Discourse в феврале 2021 года, но не получил ответа. Я хотел бы узнать:

• является ли эта проблема всё ещё актуальной
• могу ли я что-то сделать для её решения (настройки и т. д.)

Спасибо,

Гэри У.
поддержка remote.it

#========================================================
Резюме:
Уязвимость подделки серверного запроса (SSRF), по-видимому, приводит к утечке информации о внутренних IP-адресах и попыткам подключения к хосту, контролируемому злоумышленником.

Здесь видно, что из-за неправильной конфигурации проверки входных данных моя (вместо оригинального) электронная почта не прошла валидацию, и запрос был получен на мой Burp Suite Collaborator.

Шаги для воспроизведения:
1: Сначала перейдите на наш веб-сайт https://forum.remote.it/top/yearly
2: Успешно зарегистрируйтесь здесь
3: Перейдите к созданию новой темы
4: Здесь вставьте ссылку на ваш сервер

Доказательство концепции (POC):
Найдите вложение с видео. Вы также можете повторить мои шаги для воспроизведения (извините, новые пользователи не могут загружать вложения). Это вложение было приложено к электронному письму, которое я отправил в службу поддержки.

Воздействие:
Это позволит злоумышленникам получить доступ к внутреннему IP-адресу сервера, что демонстрирует HTTP-ответ от этого сервера, т. е. сервер Collaborator получил HTTP-запрос. Сервер Collaborator получил DNS-запрос типа A для доменного имени
[zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net](http://zsvge3euks4arcd9nmrwa0dvamgc41.burpcollaborator.net). Запрос был получен с IP-адреса 66.220.12.132 10 декабря 2020 года в 11:03:44 UTC.
Этот адрес принадлежит компании, что можно проверить в записи whois.
Уязвимость подделки серверного запроса (SSRF) представляет серьёзную угрозу для современных веб-приложений, поскольку может компрометировать конфиденциальность данных.

Меры по устранению:
SSRF можно устранить путём правильной санитизации URL-адресов и других пользовательских вводов. Разработчик может создать чёрный список и запретить любые пользовательские вводы, совпадающие с этим списком, а также выполнить проверку границ.

Похоже, речь идёт о нашей функциональности oneboxing.

Это не уязвимость, а запланированное поведение. Если в форуме Discourse публикуется URL, выполняется исходящий запрос для попытки получения метаданных, необходимых для создания onebox.

Такие отчёты, похоже, являются частью низкокачественного сканирования сайтов на наличие общих «уязвимостей», поскольку составители не знакомы с тем, как работает тестируемое ими программное обеспечение.

Если у них есть какие-либо находки, мы рекомендуем им отправить их через нашу программу HackerOne по вознаграждениям за ошибки.

Если у вас возникнут дополнительные вопросы, мы с радостью ответим на них.

У меня нет записей о сообщениях с этого адреса электронной почты, но мы проведём расследование, чтобы выяснить, почему мы его не получили.

Спасибо за ответ. Я отправил ссылку на эту ветку человеку, который сообщил нам об этой проблеме (или функции, в зависимости от ситуации).

С уважением,

DL