Question

Wordpress、phpcmsd 等众多应用都有访问远程地址获取资源的功能，这个功能产生的漏洞叫做 SSRF（Server-Side Request Forgery），我们在 QQ 消息中发送网页链接的时候，会显示出网页的标题和部分内容，这就说明腾讯的服务器有去访问我们发送的这个链接，那如果腾讯没有做地址限制，我们在聊天框里面发送一个腾讯内网的一个地址，那它再去访问的时候我们就能知道这是一个内网的什么系统，造成信息泄露，甚至内网漏洞利用，我们来看一个乌云网的例子：

缺陷编号：WooYun-2015-118052

漏洞标题：美丽说某处 ssrf 探测内网存活主机

相关厂商：美丽说

漏洞作者：玉林嘎

提交时间：2015-06-04 09：37

美丽说开发平台 http://center.open.meilishuo.com/app/createApp 有一个填写回调地址的地方，当填写的时候服务器会去访问这个地址是否有效，如图 11-18 所示。

图 11-18

如果有人恶意填个内网呢，先看看当填写一个不存在的地址时，页面会返回“回调地址检测失败”，如图 11-19 所示。

图 11-19

当地址存在时，则会返回“回调地址检测成功”，如图 11-20 所示，那我们就可以利用这个返回结果的差异来对比，批量扫描内网。

图 11-20

案例里面是 HTTP 协议的探测，实际上这个跟协议没有关系，之前也有厂商出现过连接远程 MySQL 服务同样的 SSRF 漏洞。

这类漏洞防御看起来好像没有什么难度，只要限制填写就可以，但是大部分厂商修复的时候应该不会考虑到短地址的问题，所以在修复之后仍然可以通过生成短链接来利用，建议修复的时候注意这点。