CLIPProxyAPI SSRF 漏洞总结 漏洞概述 CLIPProxyAPI 系统存在服务端请求伪造(SSRF)漏洞。该漏洞允许攻击者在拥有 权限的情况下,通过构造恶意请求,利用系统发起任意 HTTP 请求,从而探测内网服务或发起攻击。 影响范围 受影响组件: 系统。 触发条件:攻击者必须提供有效的 字段(即拥有访问权限)。 漏洞成因:后端代码( )在验证 URL 时逻辑过于宽松,仅检查了 URL 非空、可解析、包含 scheme 和 host,但未检查 host 是否属于私有 IP、黑名单域名或受限端口。 修复方案 1. 增加白名单/黑名单校验:在发起请求前,严格校验目标 URL 的 Host 是否属于私有 IP 地址或黑名单域名。 2. 限制协议与端口:仅允许 和 协议,并限制允许的端口范围。 3. 禁止重定向:确保 HTTP 客户端不跟随重定向,防止攻击者通过重定向绕过校验。 POC / 利用代码 1. 漏洞代码片段 (Go) 2. 请求构造代码 (HTTP Request) 注: 需替换为有效的 Authorization Token。*