FixVibe
Covered by FixVibehigh

rehegua Vulnerabilidad rehegua jeporeka: SSRF ha Seguridad iñakãrapu’ãva ñemboaje

O rehegua ZXCVFIXVIBESEG2 rehegua Ko artíkulo investigación rehegua ohesaꞌeꞌo Server-Side Request Forgery (SSRF) ha mbaꞌeichaitépa iñimportante HTTP seguridad iñakãrapuꞌa ñemboaje. Oipurúvo umi mba’ekuaarã PortSwigger ha Mozilla-gui, rohesa’ỹijo mba’éichapa escaneo automatizado ohechakuaa ko’ã mba’e’oka ha mba’éichapa FixVibe ikatu omoañetéva umi mba’ekuaarã jekuaarã ojoguáva.

CWE-918

O rehegua ZXCVFIXVIBESEG3 rehegua

Impacto rehegua

O rehegua ZXCVFIXVIBESEG4 rehegua Falsificación jerure servidor-pegua (SSRF) haꞌehína peteĩ mbaꞌevai iñimportantetereíva ohejáva peteĩ atacante-pe omokyreꞌe peteĩ purupyrã servidor-pegua ojapo hag̃ua mbaꞌejerure peteĩ tenda noñehaꞌarõivape [S1]. Kóva ikatu ogueru ojehechauka hag̃ua umi servicio interno sensible, jeike ndojeautorisáiva umi punto paha metadato arai rehegua, térã ojeheja rei umi firewall red rehegua [S1].

O rehegua ZXCVFIXVIBESEG5 rehegua

Hapo Causa rehegua

O rehegua ZXCVFIXVIBESEG6 rehegua SSRF ojehu jepi peteĩ purupyrã omboguata jave URL puruhára omeꞌevaꞌekue moañete hekopeteꞌeỹre, ohejáva ojepuru hag̃ua servidor proxy ramo umi mbaꞌejerure vairã [S1]. Ohasávo umi defecto activo, postura seguridad general peteĩ sitio rehegua oguereko tuicha influencia umi configuración iñakãrapu’ãva HTTP [S2]. Oñemoñepyrũ ary 2016-pe, Mozilla HTTP Observatory ohesa’ỹijo 6,9 millones página web ári oipytyvõ hag̃ua administrador-kuérape omombarete hag̃ua idefensa ko’ã amenaza común rehe ohechakuaávo ha ombohováivo umi vulnerabilidad seguridad rehegua ikatúva ojehu [S2].

O rehegua ZXCVFIXVIBESEG7 rehegua

Mba'éichapa FixVibe oproba hese

O rehegua ZXCVFIXVIBESEG8 rehegua FixVibe ocubrima mokõive parte ko tema investigación rehegua:

O rehegua ZXCVFIXVIBESEG9 rehegua

  • SSRF moañeterã gated: active.blind-ssrf ombaꞌapo umi escaneo activo ojehechakuaáva ryepýpe añoite. Omondo umi canario ñehenói jey osẽva banda-gui oñembotýva parámetro URL-ichagua ha iñakãrapu’ã SSRF-pegua ojejuhúva rastreo aja, upéi omombe’u pe mba’e’oka FixVibe ohupyty jave añoite peteĩ ñehenói jey ojoajúva upe escaneo rehe.

O rehegua ZXCVFIXVIBESEG10 rehegua

  • Akãrapu’ã ñemboaje: headers.security-headers ohecha pasivamente umi tenda ñembohovái iñakãrapu’ãva umi control navegador-endurecimiento peteĩchagua omomba’eguasúva Observatorio-pegua jehesa’ỹijo, oikehápe CSP, HSTS, X-Frame-Options, X-Contenido-Tipo-Opciones, Referrer-Política ha Permiso-Política.

O rehegua ZXCVFIXVIBESEG11 rehegua Pe sonda SSRF noikotevẽi mba’ejerure ohundíva térã jeike oñemboajepyréva. Ojeguereko alcance umi meta verificado ha omombeꞌu evidencia concreta de rellamada ojeadivina rangue parámetro réragui añoite.