Caddy SSO插件安全漏洞分析
背景介绍
Caddy(又称Caddy Server或Caddy 2)是一款用Golang编写的现代开源Web服务器,设计简洁易用且高度可配置。Caddy致力于简化Web应用托管流程,同时注重安全与性能。caddy-security插件是Caddy的中间件插件,提供多种安全功能,包括基于表单、基础认证、本地、LDAP、OpenID Connect、OAuth 2.0、SAML认证,以及基于JWT/PASETO令牌的HTTP请求授权。
漏洞发现
我们在caddy-security插件中发现了10个安全漏洞,可能导致客户端代码执行、OAuth重放攻击和未授权资源访问等高危攻击。
问题1:反射型跨站脚本(XSS)
严重性:高
反射型XSS发生在应用将不可信数据包含在发送给用户浏览器的HTML响应中。例如,/admin%22%3E%3Cscript%3Ealert(document.domain)%3C/script%3E/admin/login或/settings/mfa/delete/<img%20src=x%20onerror=alert(document.domain)> API调用会触发警报。攻击者可利用此漏洞在目标用户浏览器中执行任意JavaScript代码,可能导致会话劫持等进一步攻击。
即时修复方案:将所有字符串值视为潜在不可信,并使用safehtml/template包进行转义。
长期建议:
- 扩展单元测试,包含恶意XSS载荷
- 在测试环境中使用Burp Suite Professional的Active Scanner扫描所有API调用
- 扩展文档,推广安全头(尤其是内容安全策略CSP头)
问题2:不安全随机数生成
严重性:高
caddy-security插件使用基于Unix时间戳种子的math/rand Golang库生成安全关键字符串,可能通过暴力搜索预测。攻击者可利用OAuth流中可能可预测的nonce值进行OAuth重放攻击。此外,不安全随机数还用于生成多因素认证(MFA)密钥和数据库API密钥。
即时修复方案:使用密码学安全的随机数生成器(如Golang的crypto/rand)。
长期建议:
- 审查应用中其他使用
math/rand的安全上下文 - 创建安全包装函数,避免代码重复
- 在CI/CD中集成Semgrep,使用
math-random-used规则 - 阅读《Real World Cryptography》等实用密码学资源
问题3:通过X-Forwarded-For头进行IP欺骗
严重性:中
通过操纵X-Forwarded-For头,攻击者可欺骗用户身份模块(/whoami API端点)使用的IP地址。如果系统信任此欺骗IP,可能导致未授权访问。
即时修复方案:重新实现应用,不依赖用户提供的头获取用户IP地址。如需使用(如X-Forwarded-For用于日志记录),确保正确验证头值(如通过正则表达式检查IP格式)或清理(避免CRLF日志注入攻击)。
长期建议:
- 在单元测试级别实施IP欺骗和X-头检查
- 使用Golang原生模糊测试覆盖IP欺骗场景
- 使用Burp Suite Professional和Param Miner扩展进行动态测试
- 扩展文档,提高用户对此类威胁的认识
问题4:基于Referer头的XSS
严重性:中
通过重写Referer头可触发XSS漏洞。虽然Referer头通过转义某些字符(如[&], [<], [>], ["], [’])进行了清理,但未考虑基于JavaScript URL方案(如javascript:alert(document.domain)//载荷)的攻击。利用此漏洞可能不简单,但可能导致在目标用户浏览器上下文中执行恶意脚本,危害用户会话。
修复方案:与问题1相同。
问题5:开放重定向漏洞
严重性:中
登录用户点击带有redirect_url参数的特制链接时,可能被重定向到外部网站。用户需点击门户按钮或使用浏览器后退按钮触发重定向。可能导致钓鱼攻击,攻击者通过制作可信URL诱使用户访问恶意网站。
修复方案:实施正确的redirect_url参数验证,确保重定向URL仅允许同一域或可信源。
长期建议:
- 实施健壮的单元测试,覆盖
redirect_url参数验证的不同绕过场景 - 使用Burp Suite Professional,启用“最大”和“彻底”审计覆盖设置
问题6:X-Forwarded-Host头操纵
严重性:中
caddy-security插件处理X-Forwarded-Host头,可能导致多种安全漏洞(Web缓存污染、业务逻辑缺陷、基于路由的服务器端请求伪造[SSRF]和经典服务器端漏洞)。此外,插件基于此头生成QR码,扩大了攻击面。
修复方案:不在caddy-security插件逻辑中依赖Host和X-Forwarded-Host头,改用配置文件中手动指定的当前域生成QR码。
长期建议:
- 使用Burp Suite Professional和Param Miner扩展识别隐藏头处理
- 扩展文档,提高用户对HTTP Host头攻击的认识
问题7:X-Forwarded-Proto头操纵
严重性:低
处理X-Forwarded-Proto头会导致重定向到注入的协议。虽然此场景影响有限,但不当处理此类头可能导致不可预测的安全风险,如绕过安全机制或TLS处理混乱。
修复方案:不依赖X-Forwarded-Proto头。如需使用,根据允许协议(如HTTP/HTTPS)的允许列表验证头值,拒绝意外值。
长期建议:参考问题3的长期建议。
问题8:通过暴力破解验证码绕过2FA
严重性:低
当前应用的双因素认证(2FA)实现缺乏对暴力攻击的足够保护。虽然应用在多次提供错误2FA码后封锁用户,但攻击者可通过自动化应用完整多步2FA过程绕过封锁机制。
修复方案:在MFA配置中强制执行最少六位数码长。此外,为减少自动暴力破解风险,实施在指定次数无效2FA码尝试后触发的账户锁定机制。最后,对涉及敏感账户信息或安全设置的关键操作强制执行重新认证。
长期建议:参考Trail of Bits博客文章《Getting 2FA Right in 2019》。
问题9:注销时缺乏用户会话失效
严重性:低
caddy-security插件在点击“Sign Out”按钮后缺乏正确的用户会话失效;即使用户发送请求到/logout和/oauth2/google/logout,会话仍然有效。攻击者获取活动但应已注销的会话后,可代表用户执行未授权操作。
修复方案:审查注销过程,识别意外行为原因。确保/oauth2/google/logout端点正确终止用户会话并使相关令牌失效。
长期建议:使用OWASP应用安全验证标准(V3会话管理)检查实现是否安全处理会话。
问题10:解析Caddyfile时多次恐慌
严重性:低
多个解析函数在尝试访问元素前未验证输入值是否为nil,可能导致恐慌(索引越界)。解析Caddyfile时的恐慌可能不被视为立即漏洞,但可能表明安全控制执行不当(如数据验证不足),可能导致其他代码路径问题。
修复方案:在所有相关函数中,在元素访问前集成nil检查。
长期建议:为Caddyfile解析函数添加Golang原生模糊测试。
Golang安全社区贡献
我们在Trail of Bits热爱编写和审查Golang代码库。我们持续开发Golang相关(Semgrep)资源、规则和博客文章,并期待任何审查Golang代码库的机会。发布这些发现的目的是帮助保护可能考虑实施类似解决方案的其他人,并帮助他们做出有关安全基础设施的明智决策。
协调披露时间线
作为披露过程的一部分,我们首先向caddy-security插件维护者报告了漏洞:
- 2023年8月7日:向caddy-security插件维护者报告发现
- 2023年8月23日:维护者确认无近期计划处理报告漏洞
- 2023年9月18日:发布披露博客文章并在原始项目仓库提交问题