Auswirkungen
Serverseitige Anforderungsfälschung (SSRF) ist eine kritische Schwachstelle, die es einem Angreifer ermöglicht, eine serverseitige Anwendung dazu zu veranlassen, Anforderungen an einen unbeabsichtigten Standort [S1] zu stellen. Dies kann zur Gefährdung vertraulicher interner Dienste, zum unbefugten Zugriff auf Cloud-Metadaten-Endpunkte oder zur Umgehung von Netzwerk-Firewalls [S1] führen.
Grundursache
SSRF tritt typischerweise auf, wenn eine Anwendung vom Benutzer bereitgestellte URLs ohne angemessene Validierung verarbeitet, wodurch der Server als Proxy für böswillige Anfragen verwendet werden kann [S1]. Über aktive Schwachstellen hinaus wird die allgemeine Sicherheitslage einer Site stark von ihren HTTP-Header-Konfigurationen [S2] beeinflusst. Mozillas HTTP Observatory wurde 2016 ins Leben gerufen und hat über 6,9 Millionen Websites analysiert, um Administratoren dabei zu helfen, ihre Abwehrkräfte gegen diese häufigen Bedrohungen zu stärken, indem potenzielle Sicherheitslücken identifiziert und behoben werden [S2].
Wie FixVibe darauf testet
FixVibe deckt bereits beide Teile dieses Forschungsthemas ab:
- Gated SSRF-Bestätigung:
active.blind-ssrfwird nur innerhalb verifizierter aktiver Scans ausgeführt. Es sendet begrenzte Out-of-Band-Callback-Canaries in URL-förmige Parameter und SSRF-relevante Header, die während des Crawls entdeckt wurden, und meldet das Problem dann nur, wenn FixVibe einen mit diesem Scan verknüpften Callback erhält. - Header-Konformität:
headers.security-headersüberprüft passiv die Antwortheader der Website auf dieselben Browser-Härtungskontrollen, die in Überprüfungen im Observatory-Stil hervorgehoben werden, einschließlich CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.
Das SSRF-Probe erfordert keine destruktiven Anforderungen oder authentifizierten Zugriff. Es ist auf verifizierte Ziele ausgerichtet und meldet konkrete Callback-Beweise, anstatt allein anhand von Parameternamen zu raten.