Padělání požadavku na straně serveru - Server-side request forgery

V oblasti počítačové bezpečnosti padělání požadavků na straně serveru (SSRF) je typ využívat kde útočník zneužije funkčnost serveru a způsobí mu přístup nebo manipulaci s informacemi v oblasti tohoto serveru, které by jinak nebyly přímo přístupné útočníkovi.^[1]

Podobný padělání požadavku napříč weby který využívá a webový klient například webový prohlížeč v doméně jako proxy pro útoky; útok SSRF využívá nezabezpečený server v doméně jako proxy.

Pokud je parametr adresy URL zranitelný tímto útokem, je možné, že útočník vymyslí způsoby, jak komunikovat se serverem přímo (tj. Prostřednictvím 127.0.0.1 nebo localhost) nebo s back-endovými servery, které nejsou přístupné externím uživatelům. Útočník může prakticky skenovat celou síť a načítat citlivé informace.

Typy SSRF -

i. Základní SSRF: Zde se útočníkovi zobrazí odpověď.

ii. Slepý SSRF: Zde se odpověď útočníkovi nezobrazí. (Obtížné detekovat na první pohled)

Základní SSRF:

U tohoto typu útoku se útočníkovi zobrazí odpověď. Server načte adresu URL požadovanou útočníkem a odešle odpověď zpět útočníkovi.

Slepý SSRF:

U tohoto typu útoku se odpověď neposílá zpět útočníkovi. Útočník proto musí vymyslet způsoby, jak tuto chybu zabezpečení potvrdit.

Reference

Tento zabezpečení počítače článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.