[취약점] SSRF

1. CSRF vs SSRF 

서비스 간 HTTP 통신이 이뤄질 때 요청 내에 이용자의 입력값이 포함될 수 있는데, 이때 이용자의 입력값으로 인해 개발자가 의도하지 않은 요청이 전송될 수 있다.

Server-side Request Forgery(SSRF)는 웹 서비스의 요청을 변조하는 취약점으로, 서버 측에서 위조된 HTTP 요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발할 수 있다. 

 

공격형태만 보면 위조된 HTTP 요청(Request Forgery)를 이용한 공격이기 때문에 CSRF(Cross Site Request Forgery)와 유사하다고 볼 수 있으나 공격자의 공격이 발현되는 지점이 서버 측(Server Side)인지 클라이언트 측(Client Side)인지의 여부에 따라서 공격 형태가 구분될 수 있다. CSRF가 사용자의 웹 브라우저를 하이재킹하여 사용자로 하여금 악성 요청을 수행하게 만든다면, SSRF는 접근이 제한된 내부환경에 추가 공격(Post-Exploitation)이 가능하기 때문에 공격의 영향도가 높아질 수밖에 없다.

 

웹 애플리케이션 개발 환경이 클라우드 인프라를 기반으로 MSA(마이크로서비스)형태로 변화하면서 시스템 간 연계 및 사용자 권한부여 등으로 인해 개발 인프라의 아키텍처가 복잡해지면서 보안 이슈가 지속적으로 증가되었다.

 

* MSA 관련 블로그 :https://wooaoe.tistory.com/57

( Monolithic Architecture는 소프트웨어의 모든 구성요소가 한 프로젝트에 통합되어 있는 형태로, 하나로 묶여있는? 개념이면, MSA는 서비스별로 따로따로 나뉘어져 있고  API를 통해서만 상호작용할 수 있다. 정도로 이해하면 될듯.. 틀렸다면 알려주세요 )

 

 

 

웹 서비스가 보내는 요청을 변조하기 위해서는 요청 내에 이용자의 입력값이 포함되어야 한다.

입력값이 포함되는 예시로는

1) 웹 서비스가 이용자가 입력한 URL에 요청을 보내거나,

2) 요청을 보낼 URL에 이용자 번호와 같은 내용이 사용되는 경우,

3) 이용자가 입력한 값이 HTTP Body에 포함되는 경우가 있다.

 

 

2. 이용자가 입력한 URL에 요청을 보내는 경우

#pip3 install flask requests # 파이썬 flask, requests 라이브러리를 설치하는 명령입니다.
#python3 main.py # 파이썬 코드를 실행하는 명령입니다.
 
from flask import Flask, request
import requests
 
app = Flask(__name__)
 
 
@app.route("/image_downloader")
def image_downloader():
    # 이용자가 입력한 URL에 HTTP 요청을 보내고 응답을 반환하는 페이지 입니다.
    image_url = request.args.get("image_url", "") # URL 파라미터에서 image_url 값을 가져옵니다.
    response = requests.get(image_url) # requests 라이브러리를 사용해서 image_url URL에 HTTP GET 메소드 요청을 보내고 결과를 response에 저장합니다.
    return ( # 아래의 3가지 정보를 반환합니다.
        response.content, # HTTP 응답으로 온 데이터
        200, # HTTP 응답 코드
        {"Content-Type": response.headers.get("Content-Type", "")}, # HTTP 응답으로 온 헤더 중 Content-Type(응답 내용의 타입)
    )
 
 
@app.route("/request_info")
def request_info():
    # 접속한 브라우저(User-Agent)의 정보를 출력하는 페이지 입니다.
    return request.user_agent.string
    
    
app.run(host="127.0.0.1", port=8000)

 

image_downloader

(1) 이용자(클라이언트) - URL 입력 

(2) 서버 - 응답 (응답 데이터 / HTTP 응답 코드) 

이용자가 입력한 image_url을 requests.get 함수를 사용해 GET 메소드로 HTTP 요청을 보내고 응답을 반환한다.

브라우저에서 다음과 같은 URL을 입력하면 드림핵 페이지에 요청을 보내고 응답을 반환한다.

http://127.0.0.1:8000/image_downloader?image_url=https://dreamhack.io/assets/dreamhack_logo.png

request_info
웹 페이지에 접속한 브라우저의 정보(User-Agent)를 반환한다. 

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4558.0 Safari/537.36

이때, img_url에서 입력값으로 request_info의 경로를 입력한다. 

그럼 image_downloader에서는 http://127.0.0.1:8000/request_info URL에 HTTP 요청을 보내고 응답을 반환한다.

http://127.0.0.1:8000/image_downloader?image_url=http://127.0.0.1:8000/request_info

 

반환한 값을 확인해보면 브라우저 정보가 python-requests/<LIBRARY_VERSION>인 것을 확인할 수 있다.

접속한 브라우저 정보로 python-requests가 출력된 이유는 웹 서비스에서 HTTP 요청을 보냈기 때문이다.

이처럼 이용자가 웹 서비스에서 사용하는 마이크로서비스의 API 주소를 알아내고, image_url에 주소를 전달하면 외부에서 직접 접근할 수 없는 마이크로서비스의 기능을 임의로 사용할 수 있습니다.

 

3. 웹 서비스의 요청 URL에 이용자의 입력값이 포함되는 경우

INTERNAL_API = "http://api.internal/"
# INTERNAL_API = "http://172.17.0.3/"
 
 
@app.route("/v1/api/user/information")
def user_info():
	user_idx = request.args.get("user_idx", "")
	response = requests.get(f"{INTERNAL_API}/user/{user_idx}")
	
 
@app.route("/v1/api/user/search")
def user_search():
	user_name = request.args.get("user_name", "")
	user_type = "public"
	response = requests.get(f"{INTERNAL_API}/user/search?user_name={user_name}&user_type={user_type}")

 

user_info

이용자가 전달한 user_idx 값을 내부 API의 URL 경로로 사용한다.

이용자가 위와 같이 user_idx를 1로 설정하고 요청을 보낼 때,

http://172.17.0.3/v1/api/user/information?user_idx=1

 

웹 서비스는 다음과 같은 주소에 요청을 보낸다.

http://172.17.0.3/user/1

 

user_search

이용자가 전달한 user_name 값을 내부 API의 쿼리로 사용한다.

이용자가 user_name을 “hello”로 설정하고 요청을 보낼 때, 

http://172.17.0.3/v1/api/user/search?user_name=hello

 웹 서비스는 다음과 같은 주소에 요청을 보낸다.

http://172.17.0.3/user/search?user_name=hello&user_type=public

 

이때, 웹 서비스가 요청하는 URL에 이용자의 입력값이 포함되면 요청을 변조할 수 있다.

이용자의 입력값 중 URL의 구성 요소 문자를 삽입하면 API 경로를 조작할 수 있다.

예를 들어, 예시 코드의 user_info 함수에서 user_idx에 ../search를 입력할 경우 웹 서비스는 다음과 같은 URL에 요청을 보낸다.

http://api.internal/search

 

..는 상위 경로로 이동하기 위한 구분자로, 해당 문자로 요청을 보내는 경로를 조작할 수 있다. 해당 취약점은 경로를 변조한다는 의미에서 Path Traversal이라고 불린다.

 

이 외에도, # 문자를 입력해 경로를 조작할 수 있다. 예를 들어, user_search 함수에서 user_name에 secret&user_type=private#를 입력할 경우 웹 서비스는 다음과 같은 URL에 요청을 보낸다.

http://api.internal/search?user_name=secret&user_type=private#&user_type=public

 

# 문자는 Fragment Identifier 구분자로, 뒤에 붙는 문자열은 API 경로에서 생략된다.

따라서 해당 URL은 실제로 아래와 같은 URL을 나타낸다.

http://api.internal/search?user_name=secret&user_type=private

 

 

4. 웹 서비스의 요청 Body에 이용자의 입력값이 포함되는 경우

# pip3 install flask
# python main.py
 
from flask import Flask, request, session
import requests
from os import urandom
 
 
app = Flask(__name__)
app.secret_key = urandom(32)
INTERNAL_API = "http://127.0.0.1:8000/"
header = {"Content-Type": "application/x-www-form-urlencoded"}
 
 
@app.route("/v1/api/board/write", methods=["POST"])
def board_write():
    session["idx"] = "guest" # session idx를 guest로 설정합니다.
    title = request.form.get("title", "") # title 값을 form 데이터에서 가져옵니다.
    body = request.form.get("body", "") # body 값을 form 데이터에서 가져옵니다.
    data = f"title={title}&body={body}&user={session['idx']}" # 전송할 데이터를 구성합니다.
    response = requests.post(f"{INTERNAL_API}/board/write", headers=header, data=data) # INTERNAL API 에 이용자가 입력한 값을 HTTP BODY 데이터로 사용해서 요청합니다.
    return response.content # INTERNAL API 의 응답 결과를 반환합니다.
    
    
@app.route("/board/write", methods=["POST"])
def internal_board_write():
    # form 데이터로 입력받은 값을 JSON 형식으로 반환합니다.
    title = request.form.get("title", "")
    body = request.form.get("body", "")
    user = request.form.get("user", "")
    info = {
        "title": title,
        "body": body,
        "user": user,
    }
    return info
    
    
@app.route("/")
def index():
    # board_write 기능을 호출하기 위한 페이지입니다.
    return """
        <form action="/v1/api/board/write" method="POST">
            <input type="text" placeholder="title" name="title"/><br/>
            <input type="text" placeholder="body" name="body"/><br/>
            <input type="submit"/>
        </form>
    """
    
    
app.run(host="127.0.0.1", port=8000, debug=True)

 

board_write

이용자의 입력값을 HTTP Body에 포함하고 내부 API로 요청을 보낸다.

전송할 데이터를 구성할 때 세션 정보를 "guest" 계정으로 설정한다.

 

internal_board_write

board_write 함수에서 요청하는 내부 API를 구현한 기능이다.

전달된 title, body 그리고 계정 이름을 JSON 형식으로 변환하여 리턴해준다. 

 

title /body 입력창 

• title = hi / body = mnzy 입력

요청을 전송할 때 세션 정보를 "guest"로 설정했기 때문에 user가 "guest"인 것을 확인할 수 있다.

예시 코드를 살펴보면, 내부 API로 요청을 보내기 전에 다음과 같이 데이터를 구성하는 것을 확인할 수 있습니다.

data = f"title={title}&body={body}&user={session['idx']}

data = f"title={title}&body={body}&user={session['idx']}"

 

데이터를 구성할 때 이용자의 입력값인 title, body 그리고 user의 값을 파라미터 형식으로 설정한다.

이로 인해 이용자가 URL에서 파라미터를 구분하기 위해 사용하는 구분 문자인 &를 포함하면 설정되는 data의 값을 변조할 수 있다.

 title에서 title&user=admin를 삽입하면 다음과 같이 data가 구성됩니다.

title=title&user=admin&body=body&user=guest

 

내부 API에서는 전달받은 값을 파싱할 때 앞에 존재하는 파라미터의 값을 가져와 사용하기 때문에 user의 값을 변조할 수 있다.다. title&user=admin를 삽입했을 때의 실행 결과를 확인해보면 user가 "admin"으로 변조된 것을 확인할 수 있다.

 

+) 

• 상위 디렉토리 우회 : ../로 루트로 이동
  • localhost services access
    • ?url=http://localhost/server-status
  • file system access
    • ?url=file:///etc/passwd
• 확장자 우회 : %00 / ? / #

 

[참고]

Dreamhack | 강의 | Dreamhack

SSRF 취약점을 이용한 공격사례 분석 및 대응방안

SSRF