Impact
Server-Side Request Forgery (SSRF) is een kritieke kwetsbaarheid waarmee een aanvaller een server-side applicatie ertoe kan aanzetten verzoeken te doen naar een onbedoelde locatie [S1]. Dit kan leiden tot de blootstelling van gevoelige interne services, ongeautoriseerde toegang tot eindpunten van cloud-metagegevens of het omzeilen van netwerkfirewalls [S1].
Oorzaak
SSRF treedt doorgaans op wanneer een applicatie door de gebruiker aangeleverde URL's verwerkt zonder adequate validatie, waardoor de server kan worden gebruikt als proxy voor kwaadaardige verzoeken [S1]. Naast actieve fouten wordt de algehele beveiligingspositie van een site sterk beïnvloed door de HTTP-headerconfiguraties [S2]. Mozilla's HTTP Observatory, gelanceerd in 2016, heeft meer dan 6,9 miljoen websites geanalyseerd om beheerders te helpen hun verdediging tegen deze veelvoorkomende bedreigingen te versterken door potentiële beveiligingsproblemen [S2] te identificeren en aan te pakken.
Hoe FixVibe erop test
FixVibe bestrijkt al beide delen van dit onderzoeksonderwerp:
- Gated SSRF-bevestiging:
active.blind-ssrfwordt alleen uitgevoerd binnen geverifieerde actieve scans. Het stuurt begrensde out-of-band callback-canaries naar URL-vormige parameters en SSRF-relevante headers die tijdens het crawlen worden ontdekt, en rapporteert het probleem vervolgens alleen wanneer FixVibe een callback ontvangt die aan die scan is gekoppeld. - Header-compliance:
headers.security-headerscontroleert passief de responsheaders van de site op dezelfde browserverhardingscontroles die worden benadrukt in beoordelingen in Observatory-stijl, waaronder CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy en Machtigingen-beleid.
De SSRF-sonde vereist geen destructieve verzoeken of geverifieerde toegang. Het is gericht op geverifieerde doelen en rapporteert concreet terugroepbewijs in plaats van alleen op basis van parameternamen te raden.