知識ベース — 前提知識と概念整理
Knowledge Base · 各ラボから参照される基礎
KB1
SSRF の基礎
SSRF とは、内部ネットワーク侵入、クラウド・メタデータエンドポイント、フィルタ回避手法、ホワイトリスト・IP チェックによる正しい防御。
Phase 1 — 基礎
Practitioner / Expert · 主要パターン
01
商品画像取込からクラウド・メタデータを盗む
うつろい EC の商品画像取込 API が任意 URL を fetch する。AWS の 169.254.169.254 メタデータエンドポイントから IAM 認証情報を窃取する Capital One 型シナリオ。
02
ブラックリスト方式のフィルタ回避
サーバが「内部 IP 文字列を拒否」とブラックリスト実装。10進・16進・8進の代替表記や、攻撃者ドメインの DNS で素通りできる。
03
DNS Rebinding — 検証時と実リクエスト時で違う IP
検証時は public IP、実リクエスト時は private IP を返す DNS で TOCTOU を突き、IP 検証を素通り。
04
Blind SSRF — OAST で検出
Webhook 機能でレスポンスは見えないが、攻撃者の OAST サーバへの DNS / HTTP 到達で SSRF を検出。タイミング差で内部ホスト存在確認も。
05
Gopher プロトコルで内部 Redis を操作
HTTP に収まらない任意のバイト列を内部 TCP に送れる Gopher。認証なし Redis に CONFIG SET / FLUSHALL / SSH 公開鍵注入で永続バックドア。