Dopad
Server-Side Request Forgery (SSRF) je kritická chyba zabezpečení, která umožňuje útočníkovi přimět aplikaci na straně serveru, aby zadávala požadavky na nezamýšlené umístění [S1]. To může vést k odhalení citlivých interních služeb, neoprávněnému přístupu ke koncovým bodům metadat cloudu nebo k obcházení síťových firewallů [S1].
Hlavní příčina
K SSRF obvykle dochází, když aplikace zpracovává uživatelem zadané adresy URL bez adekvátního ověření, což umožňuje serveru použít jako proxy pro škodlivé požadavky [S1]. Kromě aktivních nedostatků je celkový stav zabezpečení webu silně ovlivněn konfigurací záhlaví HTTP [S2]. Observatoř HTTP od Mozilly, která byla spuštěna v roce 2016, analyzovala více než 6,9 milionu webových stránek, aby pomohla správcům posílit jejich obranu proti těmto běžným hrozbám identifikací a řešením potenciálních zranitelností zabezpečení [S2].
Jak to testuje FixVibe
FixVibe již pokrývá obě části tohoto výzkumného tématu:
- Gate SSRF potvrzení:
active.blind-ssrfběží pouze v rámci ověřených aktivních skenů. Odesílá ohraničené mimopásmové zpětné volání do parametrů ve tvaru adresy URL a příslušných záhlaví SSRF objevených během procházení a poté nahlásí problém pouze tehdy, když FixVibe přijme zpětné volání spojené s tímto skenováním. - Shoda záhlaví:
headers.security-headerspasivně kontroluje záhlaví odpovědí webu na stejné ovládací prvky zpřísňující nastavení prohlížeče, které zdůrazňují recenze ve stylu observatoře, včetně CSP, HSTS, X-Frame-Content-Options, X-Frame-Type-Options Zásady doporučení a Zásady oprávnění.
Sonda SSRF nevyžaduje destruktivní požadavky ani ověřený přístup. Je zaměřen na ověřené cíle a hlásí konkrétní důkazy zpětného volání, spíše než odhadování pouze z názvů parametrů.