SSRF漏洞POC

盡管這一類漏洞的原理不是十分復(fù)雜，它的危害性還是較為嚴(yán)重的。如果政府部門或高等院校的網(wǎng)站域名指向了違法違禁的內(nèi)容頁面，甚至被利用進(jìn)行相關(guān)內(nèi)容的傳播，會對單位網(wǎng)站的聲譽造成不良影響。 另一方面，代理服務(wù)器如果缺少訪問限制，很可能會被大量的外來的請求耗盡帶寬資源和計算資源，正常服務(wù)就會受到影響。 更為嚴(yán)重的是，由于SSRF漏洞的存在，黑客可能會利用漏洞網(wǎng)關(guān)對外部站點發(fā)起網(wǎng)絡(luò)攻擊，利用代理本身的IP地址偽造自己的身份，讓網(wǎng)站管理員無法溯源。 防護(hù)方案 當(dāng)前市面上的IPv6代理網(wǎng)關(guān)主要使用以下兩種方式對被代理域名進(jìn)行驗證。 由網(wǎng)站管理員人工維護(hù)一個域名白名單。IPv6在進(jìn)行代理服務(wù)之前會檢查被代理域名是否處于當(dāng)前的白名單中，對于不在名單內(nèi)的域名，網(wǎng)關(guān)會返回403狀態(tài)碼禁止訪問。 在代理鏈接中添加一段簽名字符串。例如：“www.baidu.com.ed93c2.proxy.example.gov.cn”，其中“ed93c2”就是將被代理域名“www.baidu.com”和密鑰拼接后一并進(jìn)行哈希函數(shù)計算得到的哈希值（部分）。 代理網(wǎng)關(guān)在收到請求后會首先重復(fù)這個哈希計算過程，如果計算后的得到簽名與代理鏈接中提供的簽名不一致，則會拒絕本次代理請求。由于外部人員不知道代理網(wǎng)關(guān)使用的密鑰，也就無法通過偽造簽名來偽造代理請求。 由IPv4向IPv6的升級過程中，新生的威脅一定會不可避免的涌現(xiàn)出來，而DDOS、CC、SQL注入、網(wǎng)站后門等在傳統(tǒng)IPv4網(wǎng)絡(luò)中屢見不鮮的惡意攻擊手段也同樣時刻威脅著IPv6的網(wǎng)絡(luò)應(yīng)用服務(wù)。 在網(wǎng)絡(luò)安全領(lǐng)域，防護(hù)工作是一個具有“木桶效應(yīng)”的命題，在線業(yè)務(wù)的安全可靠程度永遠(yuǎn)取決于木桶上最短的那一塊木板。甲方單位在選取IPv6改造服務(wù)時，一定要考慮到相關(guān)服務(wù)的攻擊防范能力，不僅要快速合規(guī)，也要防患于未然。

五、知道創(chuàng)宇I(lǐng)Pv6改造，安全無后患

針對IPv6改造時面臨的各種風(fēng)險問題，知道創(chuàng)宇I(lǐng)Pv6解決方案可輕松實現(xiàn)對原有IPv4網(wǎng)站和應(yīng)用無任何改動的情況下，快速讓現(xiàn)有IPv4業(yè)務(wù)系統(tǒng)具備IPv6終端訪問能力，同時提供IPv4/IPv6雙棧安全防護(hù)和訪問加速，無論網(wǎng)站是否支持IPv6均可以使用本服務(wù)完成IPv6改造和安全防護(hù)。 快速擁有IPv6訪問能力 知道創(chuàng)宇云防御平臺可以幫助網(wǎng)站應(yīng)用在已有支持IPv4用戶訪問的基礎(chǔ)上，幾分鐘內(nèi)快速支持IPv6訪客訪問，網(wǎng)站無需進(jìn)行任何改造、不用添加任何硬件設(shè)備。 彈性資源，高可用性 知道創(chuàng)宇云防御平臺根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢，動態(tài)調(diào)整資源，確保IPv6正常訪問；提供跨可用區(qū)部署，單個可用區(qū)故障時，迅速切換，保障IPv6業(yè)務(wù)系統(tǒng)連續(xù)性。 雙棧云端防御能力 知道創(chuàng)宇針對業(yè)務(wù)系統(tǒng)尚未支持IPv6和已支持IPv6兩種情況提供了專門解決方案，針對已支持IPv6的業(yè)務(wù)系統(tǒng)提供安全防護(hù)能力，針對尚未支持IPv6的業(yè)務(wù)系統(tǒng)提供了IPv6改造+防護(hù)能力