Подделка запроса на стороне сервера
Эта статья нуждается в дополнительных цитатах для проверки . ( октябрь 2022 г. ) |
Подделка запросов на стороне сервера ( SSRF ) — это тип эксплойта компьютерной безопасности , при котором злоумышленник злоупотребляет функциональностью сервера, заставляя его получать доступ к информации в области этого сервера или манипулировать ею, которая в противном случае не была бы напрямую доступна злоумышленнику. [1] [2]
Аналогично подделке межсайтового запроса используется , при которой веб-клиент , например веб-браузер, внутри домена в качестве прокси-сервера для атак; SSRF-атака использует уязвимый сервер внутри домена в качестве прокси .
Если параметр URL-адреса уязвим для этой атаки, возможно, злоумышленник сможет разработать способы взаимодействия с сервером напрямую (через локальный хост) или с внутренними серверами, которые недоступны внешним пользователям. Злоумышленник может практически просканировать всю сеть и получить конфиденциальную информацию.
Типы
[ редактировать ]Базовый
[ редактировать ]В этом типе атаки злоумышленнику отображается ответ. Сервер получает URL-адрес, запрошенный злоумышленником, и отправляет ответ злоумышленнику.
Слепой
[ редактировать ]В этом типе атаки ответ не отправляется злоумышленнику. Поэтому злоумышленнику приходится придумать способы подтверждения этой уязвимости.
Ссылки
[ редактировать ]- ^ «Проект безопасности открытых веб-приложений» . OWASP.org . Проверено 23 июля 2018 г.
- ^ «CWE-918: Подделка запроса на стороне сервера (SSRF)» . CWE.Mitre.org . Проверено 4 октября 2022 г.