FixVibe
Covered by FixVibehigh

ukax mä juk’a pachanakanwa Vulnerabilidad Yatxatawi: SSRF ukatxa Seguridad P’iqinchawi phuqhawi

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG2 ukax mä juk’a pachanakanwa Aka yatxatäw qillqatax Servidor-Side Request Forgery (SSRF) ukat HTTP seguridad p’iqinchaw phuqhañax kunja wakiskiris uk uñakipi. PortSwigger ukat Mozilla ukan amuyunakapampix, kunjams automático escaneo ukax uka jan walt’awinak uñt’ayi ukat kunjams FixVibe ukax ukham uñt’ayañ ch’amanchawinak phuqhaspa uk yatxatapxta.

CWE-918

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG3 ukax mä juk’a pachanakanwa

Impacto ukax mä juk’a pachanakanwa

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG4 ukax mä juk’a pachanakanwa Falsificación de Solicitud de Servidor (SSRF) ukaxa mä jach’a jan walt’awiwa, ukaxa mä atacador ukaruxa mä aplicación ukarux servidor lado ukarux mayiwinak lurañatakiw ch’amancharaki, mä jan amtat chiqaru [S1]. Ukax manqhankir servicios sensibles ukanakar uñt’ayañatakiw purispa, jan autorizadas cloud metadatos finales ukar mantañataki, jan ukax red firewalls [S1] ukar jan walt’ayañataki.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG5 ukax mä juk’a pachanakanwa

Saphi Kausa

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG6 ukax mä juk’a pachanakanwa SSRF ukaxa uñstiwa kunapachatixa mä lurawixa URLs ukanaka apnaqiriru churata jan suma chiqanchañampi luraski ukhaxa, ukaxa servidor ukarux mä proxy ukham apnaqañapatakiw jayti jan wali mayiwinakataki [S1]. Activos defectos ukanakat sipansa, mä sitio ukan taqpach seguridad postura ukax wali ch’amanchatawa HTTP p’iqinchat configuración [S2]. 2016 maran qalltawayi, Mozilla ukan HTTP Observatorio ukax 6,9 millones jila sitios web ukanakaruw uñakipawayi, administradores ukanakar yanapt’añataki, uka común amenazas ukanakat arxatäwinak ch’amanchañataki, uñt’ayasa ukat askichasa seguridad ukan jan walt’awinaka [S2].

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG7 ukax mä juk’a pachanakanwa

Kunjams FixVibe ukax ukatakix yant’i

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG8 ukax mä juk’a pachanakanwa FixVibe ukax nayraqatw aka yatxatäw tuqit pä chiqan uñt’ayi:

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG9 ukax mä juk’a pachanakanwa

  • Gated SSRF chiqanchawi: active.blind-ssrf ukaxa chiqapa uñakipata activo escaneo ukanaka manqhanakiwa. Ukax canarios de retorno de banda fuera de banda límites ukar URL ukar uñtat parámetros ukar khitharaki ukat SSRF ukar uñtasit p’iqinchanakaruw rastreo ukan jikxatasi, ukatx uka jan walt’äw yatiyaraki kunapachatix FixVibe ukax mä callback uka escaneo ukar watat katuqki ukhakiw yatiyaraki.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG10 ukat juk’ampinaka

  • P’iqinchawi phuqhawi: headers.security-headers pasivamente uñakipi sitio ukan jaysawi p’iqinchawinakapa pachpa controles de endurecimiento de navegador ukanakataki jach’anchayata Observatorio-estilo uñakipañanakampi, ukhamaraki CSP, HSTS, X-Frame-Options, X-Contenido-Tipo-Opciones, Referente-Política ukat Permisos-Política.

ukax mä juk’a pachanakanwa ZXCVFIXVIBESEG11 ukat juk’ampinaka SSRF sonda ukax janiw t’unjir mayiwinak jan ukax chiqapar mantañax wakiskiti. Ukax chiqapar uñjat amtanakar alcance ukaniwa ukatx concreto callback ukan chimpunakapaw yatiyasi, jan ukax parámetro sutinakat sapak amuyañat sipansa.