اغیزې
د سرور اړخ غوښتنه جعل (SSRF) یو مهم زیان دی چې برید کونکي ته اجازه ورکوي چې د سرور اړخ غوښتنلیک هڅوي ترڅو غیر ارادي ځای ته غوښتنې وکړي [S1]. دا کولی شي د حساس داخلي خدماتو افشا کیدو ، د کلاوډ میټاډاټا پای نقطو ته غیر مجاز لاسرسي ، یا د شبکې فایر والز [S1] څخه تیریدلو لامل شي.
اصلي لامل
SSRF عموما واقع کیږي کله چې یو غوښتنلیک د کارونکي لخوا چمتو شوي URLs د کافي اعتبار پرته پروسس کوي، سرور ته اجازه ورکوي چې د ناوړه غوښتنو لپاره د پراکسي په توګه وکارول شي [S1]. د فعالو نیمګړتیاوو هاخوا، د سایټ عمومي امنیتي حالت د هغې د HTTP سرلیک ترتیب [S2] لخوا خورا ډیر اغیزمن شوی. په 2016 کې پیل شوی، د موزیلا د HTTP څارونکي له 6.9 ملیون څخه ډیر ویب پاڼې تحلیل کړي ترڅو مدیرانو سره مرسته وکړي چې د احتمالي امنیتي زیانمننې [S2] پیژندلو او په نښه کولو سره د دې ګډو ګواښونو په وړاندې خپل دفاع پیاوړي کړي.
څنګه FixVibe د دې لپاره ازموینه کوي
FixVibe لا دمخه د دې څیړنې موضوع دواړه برخې پوښي:
- د SSRF تایید:
active.blind-ssrfیوازې د تایید شوي فعال سکینونو دننه چلیږي. دا د یو آر ایل شکل شوي پیرامیټونو او SSRF اړونده سرلیکونو ته د کرال په جریان کې کشف شوي د بند څخه بهر کال بیک کینري لیږي ، بیا یوازې هغه وخت مسله راپور ورکوي کله چې FixVibe د دې سکین سره تړلی کال بیک ترلاسه کوي. - د سرلیک تعمیل:
headers.security-headersپه غیر فعاله توګه د سایټ د ځواب سرلیکونه د ورته براوزر سخت کنټرولونو لپاره چیک کوي چې د څارونکي طرز بیاکتنې لخوا ټینګار شوي ، پشمول CSP, ZXCVFIXVIBETOKEN2ZFCV, XXCVFIXVIBETOKEN2ZFCV, د ایکس منځپانګې ډوله اختیارونه، ریفرر پالیسي، او د اجازې پالیسي.
د SSRF تحقیقات تخریبي غوښتنو یا مستند لاسرسي ته اړتیا نلري. دا یوازې د پیرامیټرو نومونو څخه اټکل کولو پرځای د تایید شوي هدفونو او د کانکریټ کالبیک شواهدو راپور ورکولو لپاره ساحه لري.