漏洞概述 该漏洞涉及Azure身份证书获取过程中的安全加固。具体问题是之前的SSRF(服务器端请求伪造)加固措施被撤销,导致证书获取过程中存在潜在的安全风险。 影响范围 证书限制:仅允许Microsoft和DigiCert颁发的证书。 DNS解析:通过专用的 解析主机并直接验证IP,防止DNS重绑定攻击。 网络地址限制:拒绝回环、私有(RFC 1918 / IPv6 ULA)、链路本地、多播、未指定、CGNAT、基准测试和IPv6映射的IPv6地址。 响应体大小限制:证书响应体限制在1MB以内。 错误日志:记录底层错误,但不向调用者返回通用细节,防止信息泄露。 修复方案 1. 证书限制: - 仅允许Microsoft和DigiCert颁发的证书。 2. DNS解析: - 使用专用的 解析主机并直接验证IP,防止DNS重绑定攻击。 3. 网络地址限制: - 拒绝以下类型的网络地址: - 回环地址 - 私有地址(RFC 1918 / IPv6 ULA) - 链路本地地址 - 多播地址 - 未指定地址 - CGNAT地址 - 基准测试地址 - IPv6映射的IPv6地址 4. 响应体大小限制: - 证书响应体限制在1MB以内。 5. 错误日志: - 记录底层错误,但不向调用者返回通用细节,防止信息泄露。 POC代码 页面中未提供具体的POC代码或利用代码。 总结 该修复方案通过限制证书来源、加强DNS解析、限制网络地址、限制响应体大小以及优化错误日志,全面加固了Azure身份证书获取过程中的安全性,防止了潜在的SSRF攻击和其他安全风险。