在本系列文章的上集，咱们对现代Web运用架构中的躲藏体系以及躲藏服务进行了简略描述，并且介绍了本系列文章中所要运用的东西以及技能。在本系列文章的中集，咱们介绍了几种能够露出方针阻挠躲藏服务或躲藏体系的几种简略办法，那么鄙人会集，咱们将会用实践的方针来给咱们演示怎么运用这些技能寻找到躲藏体系，并运用其间存在的安全缝隙来完结侵略进犯。
四、方针设定为辅佐体系
目前为止，咱们现已了解了反向署理所能呈现出的改变以及多样性，并且还介绍了能够让反向署理过错传递恳求的技能，可是这种技能所能带来的影响并没有彻底发挥出来。在这一章节中咱们将会看到，当你在遇到相似后台剖析服务器或缓存这样的辅佐体系时，想要找出一个能够运用的缝隙会比引发一次服务器回调要困难得多。
1.搜集信息
与根据路由的进犯技能不同，这些技能一般来说并不会损坏方针网站本来正常的功用，而Collaborator Everywhere正是经过向每一个恳求注入不同的进犯向量来运用了这项技能：
GET / HTTP/1.1
Host: store.starbucks.ca
X-Forwarded-For: a.burpcollaborator.net
True-Client-IP: b.burpcollaborator.net
Referer: http://c.burpcollaborator.net/
X-WAP-Profile: http://d.burpcollaborator.net/wap.xml
Connection: close
X-Forwarded-For
其间有一种回调技能示例（即X-Forwarded-For和True-Client-IP这两个HTTP头）尽管很简略触发，可是想要运用它们却十分困难，而这两个HTTP头一般是浸透测验人员用来假造IP地址和主机名时运用的。信赖这些HTTP头的运用程序将会履行DNS查询并测验将恳求中供给的主机名解析为相应的IP地址。这也就意味着，这些运用程序将无法抵挡IP诈骗进犯，可是除非你现已找到了一个十分便利运用的DNS库内存溃散缝隙，不然咱们依然难以去运用这种回调行为所存在的安全缝隙。
Referer
相似的，Web剖析体系通常会获取拜访者所供给的Referer头中任何未辨认的URL地址。某些剖析体系乃至还会出于SEO索引之类的意图，来测验对一个Referer头中URL地址所指向的网站进行完好爬取。这种行为就十分危险了，所以咱们或许能够界说一个不那么严厉的robots.txt文件来鼓舞方针体系的这种危险行为，并将其转换为一种Blind-SSRF缝隙，由于关于用户来说，他们底子无法检查到剖析体系的恳求成果，并且剖析体系一般在用户供给了恳求之后的几分钟或几个小时才干生成剖析成果，这也就使得状况愈加的杂乱了。
参数仿制
出于某种原因，假如查询字符串中某个URL呈现了两次的话，Incapsula将会直接测验获取这个URL所指向的资源。但不幸的是，Incapsula并没有树立自己的缝隙奖赏方案，所以我就没有再花时间去研讨这个缝隙是否能够被进一步运用了。
X-Wap-Profile
X-Wap-Profile是一种十分陈旧的HTTP头了，它能够向设备的用户署理装备（UAProf）中指定一个URL地址。装备文件UAProf是一种XML文档，它用于界说设备的根本特性，例如屏幕尺度、蓝牙功用、以及可支撑的协议和字符等等：
GET / HTTP/1.1
Host: facebook.com
X-Wap-Profile: http://nds1.nds.noki *** /uaprof/N6230r200.xml
Connection: close
兼容的运用程序将会从这个HTTP头中提取出URL地址，然后获取并解析指定的XML文档，这样它们就能够将方针内容更好地供给给客户端了。可是这样的运转机制其安全危险是十分高的，由于这些运用程序将有或许从不受信赖的URL地址获取资源并解析不受信赖的XML文档，并导致愈加严峻的安全问题呈现。但对咱们来说不幸的是，这种功用并没有被广泛选用，而Facebook是仅有一个既具有缝隙奖赏方案又存在这个安全问题的网站，不过它们再处理这些XML解析时十分的小心翼翼，并且它们会在接收到恳求的二十六个小时之后才去获取指定的XML文档，这也使得咱们的测验变得十分困难。
2.长途客户端缝隙运用
在这些场景中，想要直接找到SSRF缝隙并加以运用其实是十分困难的，由于咱们无法及时接收到运用程序的反应成果（各种延时处理）。因而，我决定将注意力放在与咱们衔接在一起的客户端身上。由于反向署理的存在，这些客户端一般都没有经过严厉的安全审计，并且咱们乃至还能够直接用现成的东西来运用其间存在的安全缝隙。比如说，我能够经过与服务器树立一条HTTPS通讯链接，并对已衔接的体系建议客户端Heartbleed进犯来轻松盗取到服务器中的内存信息。相似Phantom *** 这样的无头（Headless）浏览器一般都是过期的，并且现已好久没有进行过安全更新了。除此之外，根据Windows的客户端也会向运转了SpiderLabs Responder的服务器主动上传域名证书，并且lcamtuf的p0f还能够协助咱们发现用户署理背面所运转的客户端。
尽管运用程序一般都会对URL输入进行过滤，可是许多代码库依然会直接去处理重定向链接，由于不同的重定向链接会议现出不同的行为形式。比如说，Rumblr的URL预览功用只支撑HTTP协议，可是它也支撑指向FTP服务的重定向链接。
并且某些客户端所做的不仅仅是简略地去下载一个页面，它们还会给用户呈现页面并履行其间包括的JavaScript代码，而这种行为将会露出十分大的进犯面。

你能够从上图的汇总成果中看到，其间有两个无法辨认的JavaScript特点-'parity'和'System'，这两个特点现已被注入到了网站中并担任建议以太币转账操作。这些无法辨认的JavaScript特点其实是十分有用的，比如说咱们能够运用'parity'特点来盗取用户“加密钱银钱包”的公钥，而这种绝无仅有的密钥能够协助咱们检查用户的余额或盗取其间的加密钱银。
五、总结
近些年来，越来越多的企业和安排树立了自己的缝隙奖赏方案，而这也直接导致了一种新式的研讨办法呈现，咱们现在乃至能够在十五分钟之内对成千上万服务器进行测验以验证某种新式的进犯技能。而我正是运用了这种办法发现了反向署理中存在的问题将有或许导致严峻的安全缝隙呈现，并在这一过程中获得了三万三千美刀的缝隙奖金。为了更好地完成纵深防护，反向署理应该遭到增强型防火墙的维护，并尽或许地与公共拜访进行阻隔。
在本系列文章中，咱们给咱们演示了怎么去发现那些躲藏在后台的后端体系/服务，并深化了解了这些躲藏体系的运转机制。尽管这些躲藏体系中的安全问题不会给服务带来严峻的灾祸，但它们确实露出出了十分宽广的进犯面。当然了，真实的进犯者必定不会放过这些进犯面，而此刻方针网站的服务可就岌岌可危了。
本系列文章到此总算完毕了，期望文章内容能够给咱们平常的浸透测验带来一些创意和启示，究竟信息安全范畴的人需求的是各种发散性的思想，期望能够帮到咱们。