Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 1125

Server-Side Request Forgery (SSRF)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Server-Side Request Forgery (SSRF) ?

Server-Side Request Forgery (SSRF)Vulnérabilité web permettant à un attaquant de pousser un serveur à émettre des requêtes HTTP ou réseau vers des destinations qu'il choisit, souvent des systèmes internes.

Le Server-Side Request Forgery (SSRF) survient lorsqu'un serveur récupère une ressource distante à partir d'une URL contrôlée par l'utilisateur sans validation suffisante. L'attaquant peut alors exploiter les privilèges réseau du serveur pour atteindre des services internes inaccessibles depuis Internet — endpoints de métadonnées cloud, consoles d'administration, bases de données — afin de voler des données, scanner des ports ou déclencher une exécution de code distant. Le SSRF est particulièrement critique dans le cloud où le service de métadonnées peut renvoyer des identifiants temporaires. Les défenses incluent l'allowlisting des destinations sortantes, le blocage des plages privées et link-local, la désactivation des schémas inutilisés, l'authentification des services internes et l'application d'IMDSv2 sur AWS ou de son équivalent ailleurs.

Exemples

  1. 01

    Un attaquant abuse d'une fonction d'import d'image pour faire requêter http://169.254.169.254/ et voler les identifiants de l'instance cloud.

  2. 02

    Un SSRF dans un endpoint webhook est utilisé pour scanner des bases de données internes invisibles depuis Internet.

Questions fréquentes

Qu'est-ce que Server-Side Request Forgery (SSRF) ?

Vulnérabilité web permettant à un attaquant de pousser un serveur à émettre des requêtes HTTP ou réseau vers des destinations qu'il choisit, souvent des systèmes internes. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Que signifie Server-Side Request Forgery (SSRF) ?

Vulnérabilité web permettant à un attaquant de pousser un serveur à émettre des requêtes HTTP ou réseau vers des destinations qu'il choisit, souvent des systèmes internes.

Comment se défendre contre Server-Side Request Forgery (SSRF) ?

Les défenses contre Server-Side Request Forgery (SSRF) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Server-Side Request Forgery (SSRF) ?

Noms alternatifs courants : SSRF.

Termes liés

Voir aussi