Poveikis
Serverio užklausų klastojimas (SSRF) yra kritinis pažeidžiamumas, leidžiantis užpuolikui priversti serverio programą pateikti užklausas į nenumatytą vietą [S1]. Dėl to gali būti atskleistos jautrios vidaus paslaugos, neteisėta prieiga prie debesies metaduomenų galinių taškų arba gali būti apeinamos tinklo ugniasienės [S1].
Pagrindinė priežastis
SSRF paprastai įvyksta, kai programa apdoroja vartotojo pateiktus URL be tinkamo patvirtinimo, todėl serverį galima naudoti kaip tarpinį serverį kenkėjiškoms užklausoms [S1]. Be aktyvių trūkumų, bendrai svetainės saugos pozicijai didelę įtaką daro jos HTTP antraštės konfigūracijos [S2]. 2016 m. paleista „Mozilla“ HTTP observatorija išanalizavo daugiau nei 6,9 milijono svetainių, kad padėtų administratoriams sustiprinti savo apsaugą nuo šių įprastų grėsmių nustatant ir pašalinant galimas saugumo spragas [S2].
Kaip FixVibe tai tikrina
FixVibe jau apima abi šios tyrimo temos dalis:
- Patvirtintas SSRF:
active.blind-ssrfveikia tik patvirtintuose aktyviuose nuskaitymuose. Jis siunčia apribotas už dažnių juostos atgalinio skambinimo kanarėlės į URL formos parametrus ir su SSRF susijusias antraštes, aptiktas tikrinimo metu, tada praneša apie problemą tik tada, kai FixVibe gauna su tuo nuskaitymu susietą atgalinį skambutį. - Antraštės atitiktis:
headers.security-headerspasyviai tikrina svetainės atsakymų antraštes, kad būtų ieškoma tų pačių naršyklės griežtinimo valdiklių, pabrėžtų observatorijos stiliaus apžvalgose, įskaitant CSP, HSTS, X-Fra, Xpe-Options, X-Fra. Persiuntimo politika ir leidimų politika.
SSRF zondui nereikia destruktyvių užklausų ar autentifikuotos prieigos. Jis taikomas patikrintiems tikslams ir pateikia konkrečius atgalinio ryšio įrodymus, o ne spėlioja vien iš parametrų pavadinimų.