# ተጽዕኖ የአገልጋይ-ጎን ጥያቄ ፎርጀሪ (SSRF) አጥቂ የአገልጋይ ወገን መተግበሪያን ወደ ላልተፈለገ ቦታ እንዲጠይቅ የሚፈቅድ ወሳኝ ተጋላጭነት ነው። ይህ ወደ ሚስጥራዊ የውስጥ አገልግሎቶች መጋለጥ፣ ያልተፈቀደ የክላውድ ሜታዳታ የመጨረሻ ነጥብ መዳረሻ ወይም የአውታረ መረብ ፋየርዎል [S1] ወደ ማለፍ ሊያመራ ይችላል።
የስር መንስኤ
SSRF በተለምዶ አፕሊኬሽኑ በተጠቃሚ የቀረቡ ዩአርኤሎችን ያለ በቂ ማረጋገጫ ሲያሄድ፣ይህም አገልጋዩ ለተንኮል አዘል ጥያቄዎች [S1] ፕሮክሲ ሆኖ እንዲያገለግል ያስችለዋል። ከንቁ ድክመቶች ባሻገር፣ የጣቢያው አጠቃላይ የደህንነት አቀማመጥ በኤችቲቲፒ አርዕስ አወቃቀሮች [S2] ከፍተኛ ተጽዕኖ ይደረግበታል። እ.ኤ.አ. በ 2016 የጀመረው የሞዚላ ኤችቲቲፒ ኦብዘርቫቶሪ አስተዳዳሪዎች ከእነዚህ የተለመዱ ስጋቶች የመከላከል አቅማቸውን እንዲያጠናክሩ ለመርዳት የደህንነት ተጋላጭነቶችን [S2]ን በመለየት እና በመፍታት ከ6.9 ሚሊዮን በላይ ድረ-ገጾችን ተንትኗል።
FixVibe እንዴት እንደሚፈትሽ
FixVibe የዚህን የምርምር ርዕስ ሁለቱንም ክፍሎች አስቀድሞ ይሸፍናል፡-
- የተዘጋ SSRF ማረጋገጫ:
active.blind-ssrfየሚሰራው በተረጋገጡ ንቁ ስካን ውስጥ ብቻ ነው። ከባንድ ውጪ የታሰሩ የመልሶ መደወያ ካናሪዎችን ወደ URL-ቅርጽ መለኪያዎች እና SSRF ተዛማጅ ራስጌዎችን በጉበኝነት ጊዜ ይልካል፣ከዚያም ጉዳዩን ሪፖርት የሚያደርገው FixVibe ከዚያ ቅኝት ጋር የተያያዘ መልሶ መደወል ሲደርሰው ብቻ ነው።
headers.security-headers በግብረ-ገብነት የጣቢያው ምላሽ ራስጌዎችን ይፈትሻል ለተመሳሳይ የአሳሽ ማጠንከሪያ ቁጥጥሮች CSP ጨምሮ CSP፣HSTS X-ይዘት-አይነት-አማራጮች፣ማጣቀሻ-መመሪያ እና ፍቃዶች-መመሪያ።
የSSRF ፍተሻ አጥፊ ጥያቄዎችን ወይም የተረጋገጠ መዳረሻን አይፈልግም። ከመለኪያ ስሞች ብቻ ከመገመት ይልቅ ለተረጋገጡ ኢላማዎች እና ተጨባጭ የመልሶ መደወል ማስረጃዎችን ሪፖርት ያደርጋል።