Атаки и угрозы
Подделка запросов на стороне сервера (SSRF)
Также известно как: SSRF
Определение
Веб-уязвимость, позволяющая злоумышленнику заставить сервер выполнять HTTP- или иные сетевые запросы по выбору атакующего, как правило к внутренним системам.
Подделка запросов на стороне сервера (SSRF) возникает, когда сервер запрашивает удалённый ресурс по URL, контролируемому пользователем, без должной валидации. Злоумышленник пользуется сетевыми привилегиями сервера, чтобы добраться до внутренних сервисов, недоступных из интернета, — метаданных облака, админ-консолей, баз данных — и украсть данные, просканировать порты или вызвать удалённое выполнение кода. SSRF особенно опасна в облаке, где метаданные могут возвращать временные учётные данные. Меры защиты: allow-листы исходящих адресов, блокировка link-local и приватных диапазонов, отключение неиспользуемых URL-схем, обязательная аутентификация внутренних сервисов и принудительное использование IMDSv2 в AWS или аналогов в других облаках.
Примеры
- Злоумышленник через функцию импорта изображения заставляет сервер обратиться к http://169.254.169.254/ и крадёт учётные данные облачного инстанса.
- SSRF в webhook-эндпойнте используется для сканирования внутренних баз данных, недоступных из интернета.
Связанные термины
Подделка межсайтовых запросов (CSRF)
Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.
Cloud Misconfiguration
Cloud Misconfiguration — definition coming soon.
Input Validation
Input Validation — definition coming soon.
Open Redirect
Open Redirect — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.
IAM Misconfiguration
IAM Misconfiguration — definition coming soon.