Nagłówek Host warty $4000 – podatność w GitLab

Ciekawy błąd zgłoszony do GitLaba: Unauthenticated blind SSRF in OAuth Jira authorization controller, wypłata $4000.

Istota problemu polegała tutaj na odpowiednim użyciu nagłówka HTTP Host:

Zauważmy że adres, do którego łączy się curl (https://gitlab.com/) to nie ten sam, co w nagłówku Host (162.243.147.21:81). Ten ostatni to adres napastnika, a jak widać możemy tutaj podać dodatkowy port docelowy. Takie przykłady mamy w naszym poradniku o protokole HTTP.

W skrócie, tą podatnością można realizować żądania http/https do hostów wewnętrznej sieci w ramach infrastruktury GitLab (ustawiając odpowiednio nagłówek Host w naszym żądaniu):

The vulnerability allows an attacker to make arbitrary HTTP/HTTPS requests inside a GitLab instance’s network.

Więcej o podatności SSRF (w tym duża liczba różnych przykładów tej podatności) będziecie mogli poczytać w książce sekuraka :)

–ms