SecureDevOps

A10:2021 – Falsificarea Cererilor pe Partea Serverului

Server-Side Request Forgery (SSRF)

Descriere
Ce reprezintă această vulnerabilitate?

Falsificarea Cererilor pe Partea Serverului (SSRF) apare atunci când o aplicație web preia o resursă de la distanță fără a valida suficient URL-ul furnizat de utilizator. Aceasta permite atacatorilor să forțeze aplicația să trimită cereri modificate către un domeniu neașteptat, care poate fi accesibil doar intern sau extern.

Această vulnerabilitate este nouă în topul OWASP 2021, ocupând poziția 10, reflectând creșterea prevalenței și impactului atacurilor SSRF, în special în contextul arhitecturilor bazate pe microservicii și cloud.

A10

Exemplu în imagine: un atacator poate determina serverul să se conecteze la servicii interne (protejate de firewall și inaccesibile din exterior) și să sustragă date.

Exemple de Vulnerabilități

1. Accesarea serviciilor interne

Un atacator poate modifica URL-ul unei cereri pentru a accesa servicii interne care nu ar trebui să fie accesibile din exterior. De exemplu, modificarea unui URL de la "https://api.example.com/data" la "http://internal-service.local/admin" pentru a accesa un panou de administrare intern.

2. Scanarea porturilor și rețelelor interne

Atacatorii pot utiliza SSRF pentru a scana porturi și rețele interne, identificând servicii și sisteme care nu sunt expuse direct pe internet. Aceasta poate fi utilizată pentru a cartografia infrastructura internă și a identifica ținte potențiale pentru atacuri ulterioare.

3. Accesarea metadatelor cloud

În mediile cloud, atacatorii pot utiliza SSRF pentru a accesa endpoint-uri de metadate, cum ar fi "http://169.254.169.254" în AWS, pentru a obține informații sensibile precum credențiale temporare, chei de acces sau alte date de configurare.

4. Bypass-ul filtrelor de URL

Atacatorii pot utiliza diverse tehnici pentru a ocoli filtrele de URL, cum ar fi utilizarea de scheme URL alternative (file://, dict://, gopher://), redirectări, codificări URL sau DNS rebinding pentru a accesa resurse restricționate.

5. Exploatarea serviciilor locale

Atacatorii pot utiliza SSRF pentru a interacționa cu servicii locale care rulează pe server, cum ar fi Redis, Memcached sau Elasticsearch, care pot fi configurate să accepte conexiuni doar de pe localhost și nu au autentificare puternică.