Jump to content

Подделка запроса на стороне сервера

Подделка запросов на стороне сервера ( SSRF ) — это тип эксплойта компьютерной безопасности , при котором злоумышленник злоупотребляет функциональностью сервера, заставляя его получать доступ к информации в области этого сервера или манипулировать ею, которая в противном случае не была бы напрямую доступна злоумышленнику. [1] [2]

Аналогично подделке межсайтового запроса используется , при которой веб-клиент , например веб-браузер, внутри домена в качестве прокси-сервера для атак; SSRF-атака использует уязвимый сервер внутри домена в качестве прокси .

Если параметр URL-адреса уязвим для этой атаки, возможно, злоумышленник сможет разработать способы взаимодействия с сервером напрямую (через локальный хост) или с внутренними серверами, которые недоступны внешним пользователям. Злоумышленник может практически просканировать всю сеть и получить конфиденциальную информацию.

Типы

[ редактировать ]

Базовый

[ редактировать ]

В этом типе атаки злоумышленнику отображается ответ. Сервер получает URL-адрес, запрошенный злоумышленником, и отправляет ответ злоумышленнику.

Слепой

[ редактировать ]

В этом типе атаки ответ не отправляется злоумышленнику. Поэтому злоумышленнику приходится придумать способы подтверждения этой уязвимости.

Ссылки

[ редактировать ]
  1. ^ «Проект безопасности открытых веб-приложений» . OWASP.org . Проверено 23 июля 2018 г.
  2. ^ «CWE-918: Подделка запроса на стороне сервера (SSRF)» . CWE.Mitre.org . Проверено 4 октября 2022 г.


Значок заглушки

Эта о компьютерной безопасности статья незавершена . Вы можете помочь Википедии, расширив ее .

Retrieved from "https://en.wikipedia.org/w/index.php?title=Server-side_request_forgery&oldid=1231915227"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: dad52feea2cf07fb11c563a407135769__1719780480
URL1:https://arc.ask3.ru/arc/aa/da/69/dad52feea2cf07fb11c563a407135769.html
Заголовок, (Title) документа по адресу, URL1:
Server-side request forgery - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)