背景介绍

在现代互联网架构中，内容分发网络（CDN）扮演着至关重要的角色，它们通过在全球分布的多个服务器节点缓存和提供静态和动态内容，以降低带宽消耗、提高加载速度和增强用户体验，安全漏洞如服务器端请求伪造（SSRF）可能被攻击者利用，突破这些防线，访问内部系统或敏感信息。

SSRF是一种由不安全的URL参数处理引发的严重安全漏洞，允许攻击者通过操控服务器端的请求来访问未授权的资源，尽管CDN可以提供一定程度的防护，但SSRF攻击依然可以通过某些技巧绕过CDN，直接对源站构成威胁。

本文将探讨几种绕过CDN进行SSRF攻击的方法，并讨论相应的防御措施，我们的目标是帮助开发者和网络安全专家了解这些技巧，从而更好地保护他们的系统。

SSRF的基本概念和危害

什么是SSRF？

服务器端请求伪造（Server-Side Request Forgery，SSRF）是一种安全漏洞，出现在Web应用程序将用户提供的数据用于生成HTTP请求的情况下，攻击者可以利用这一漏洞，操控这些请求来访问内部资源或发起进一步的攻击。

SSRF的危害

SSRF漏洞可能导致以下几种严重后果：

1、数据泄露：攻击者可以访问服务器的内部API，读取敏感信息，例如密码、密钥或个人数据。

2、内网渗透：通过SSRF，攻击者可能访问内网中的其他服务器，执行未授权的操作。

3、与其它漏洞结合：SSRF可以与其他漏洞（如RCE、CSRF等）结合使用，进一步扩大攻击面。

4、服务拒绝：大量的伪造请求可能导致服务器过载，造成服务中断。

SSRF绕过CDN的方法

方法一：利用“@”符号

原理解析

在某些情况下，URL解析的规则可能会导致过滤机制被绕过，特别是“@”符号，在特定场景下可以用来绕过简单的验证机制。

举例说明

假设一个存在SSRF漏洞的站点，其过滤规则简单地检查了URL是否包含“http://”，而没有考虑“@”符号的使用，攻击者可以通过构造如下URL来绕过CDN的限制：

http://www.example.com@internal.badcdn.com

这个请求会被服务器解析为访问http://internal.badcdn.com，从而绕过CDN的防护。

方法二：IP地址进制转换

原理解析

许多过滤器会基于黑名单或白名单来限制访问特定IP地址，这些过滤器通常只识别点分十进制的IPv4地址格式，通过将IP地址转换为其他进制格式（如十六进制或八进制），可以绕过这些防护机制。

举例说明

默认情况下，127.0.0.1是本地回环地址，如果将其转换为十六进制表示法：

http://[::1]

或者八进制表示法：

http://0330.0072.0007.0001

这些地址都可以指向同一台机器，但可能不会被过滤器识别为受限地址。

方法三：使用短网址服务

原理解析

短网址服务（如bit.ly、tinyurl等）可以将长URL缩短，同时保留原URL的功能，攻击者可以利用这一点，将目标URL转换成短链接，以增加绕过过滤器的几率。

举例说明

攻击者可以使用短网址服务将目标内部系统的URL转换为短链接，

http://bit.ly/1J7ZxL

这个短链接实际上指向内部的一个敏感系统，但由于短链接服务的广泛使用和合法性，它更有可能绕过安全检查。

方法四：重定向漏洞利用

原理解析

某些应用存在开放的重定向功能，允许用户通过特定的HTTP状态码（如302重定向）来改变请求的目标，攻击者可以利用这些漏洞，通过合法的重定向请求访问到内部系统。

举例说明

假设某站点支持302重定向，并且该功能未被正确过滤，攻击者可以构造如下请求：

http://example.com/redirect?url=http://internal.system/admin

服务器可能会遵循这个重定向请求，最终访问到未授权的内部页面。

绕过CDN后的SSRF利用方式

一旦成功绕过CDN，攻击者可以尝试多种方式利用SSRF漏洞进行进一步攻击，以下是一些常见的利用方式：

文件读取与写入

通过SSRF漏洞，攻击者可以向服务器发送请求以读取或写入文件系统中的文件。

http://internal.server/path/to/sensitive/file

这种请求可以直接暴露文件内容或覆盖重要文件，从而导致数据泄露或篡改。

端口扫描与内网探测

攻击者可以利用SSRF漏洞对内网进行端口扫描，探测开放端口和服务：

http://internal.badcdn.com:8080/open_ports

这种操作可以帮助攻击者绘制出内网的网络拓扑结构，为进一步的攻击做准备。

与其它漏洞结合攻击

SSRF可以与其他类型的漏洞结合使用，例如与RCE（远程代码执行）漏洞配合，执行任意命令：

http://internal.server/vulnerable/endpoint?command=run_malicious_code

这种组合攻击可以导致更严重的安全问题，甚至完全控制受害服务器。

检测与防御SSRF的方法

为了有效防范SSRF攻击，需要采取多层次的安全策略，从检测到防御，全面保护系统免受此类攻击的威胁，以下是一些推荐的方法和最佳实践：

输入验证与净化

严格验证和净化所有用户输入，确保URL参数不被恶意篡改，可以使用白名单来限制允许的输入内容，仅允许符合特定模式的URL通过。

import re
def is_valid_url(url):
    pattern = re.compile(r'^(?:http://|https://)[\w.-]+(?:\:[0-9]+)?(?:/[\w./-]*)*$')
    return bool(pattern.match(url))

此函数仅允许通过简单验证的HTTP和HTTPS URL，避免复杂且恶意的构造。

URL规范化与静态资源托管

使用规范化的URL格式，避免用户输入直接影响后台请求的逻辑，尽量将静态资源托管在CDN上，减少直接涉及后端服务器的请求。

location /static/ {
    alias /var/www/static/;
}

这样可以确保静态资源请求不会触及后端逻辑，降低风险。

禁用不必要的服务与端口

关闭或限制不必要的服务和端口，减少可被攻击的表面积，如果某端口并不需要对外提供服务，应将其关闭：

CentOS示例
firewall-cmd --permanent --remove-port=8080/tcp
firewall-cmd --reload

这可以防止攻击者通过未使用的端口进行SSRF攻击。

部署WAF与监控机制

使用Web应用防火墙（WAF）来过滤和监控HTTP流量，及时发现异常请求，WAF可以配置特定的规则来检测和阻止SSRF攻击：

Nginx与WAF集成示例
ngx_http_waf_module;
server {
    location / {
        waf_rules ...; # 自定义WAF规则路径
        proxy_pass http://backend;
    }
}

结合日志分析工具，实时监控和审计请求，快速响应潜在的攻击行为。

定期安全评估与更新

定期进行安全评估和渗透测试，发现并修复潜在的安全漏洞，保持系统和依赖库的更新，及时应用安全补丁：

更新系统包示例
yum update -y
apt-get update && apt-get upgrade -y

定期检查并应用最新的安全策略和补丁，确保系统处于最新防护状态。

结论与未来展望

SSRF作为一种严重的安全漏洞，可能带来极大的危害，尽管CDN提供了一层防护，但通过巧妙的技巧，攻击者仍然可以绕过这些防护措施，直接对源站进行攻击，理解SSRF的原理和绕过技术，对于开发和运维人员来说至关重要。

未来的安全防护需要综合运用多种手段，包括严格的输入验证、URL规范化、关闭不必要服务、部署WAF以及定期安全评估等，通过多层次的防护措施，才能有效降低SSRF带来的风险。