Vplyv
Falšovanie požiadaviek na strane servera (SSRF) je kritická chyba zabezpečenia, ktorá umožňuje útočníkovi prinútiť aplikáciu na strane servera, aby odosielala požiadavky na neúmyselné umiestnenie [S1]. To môže viesť k odhaleniu citlivých interných služieb, neoprávnenému prístupu ku koncovým bodom metadát cloudu alebo k obchádzaniu sieťových brán firewall [S1].
Hlavná príčina
SSRF sa zvyčajne vyskytuje, keď aplikácia spracováva adresy URL zadané používateľom bez adekvátneho overenia, čo umožňuje serveru použiť ako server proxy pre škodlivé požiadavky [S1]. Okrem aktívnych nedostatkov je celkový stav zabezpečenia lokality výrazne ovplyvnený konfiguráciami hlavičiek HTTP [S2]. Observatórium HTTP od Mozilly, spustené v roku 2016, analyzovalo viac ako 6,9 milióna webových stránok, aby pomohlo správcom posilniť ich obranu proti týmto bežným hrozbám identifikáciou a riešením potenciálnych bezpečnostných slabín [S2].
Ako to testuje FixVibe
FixVibe už pokrýva obe časti tejto výskumnej témy:
- Overené potvrdenie SSRF:
active.blind-ssrfsa spúšťa iba v rámci overených aktívnych skenov. Odošle ohraničené kanáriky spätného volania mimo pásma do parametrov v tvare adresy URL a do príslušných hlavičiek SSRF objavených počas prehľadávania a potom nahlási problém len vtedy, keď FixVibe prijme spätné volanie spojené s týmto skenovaním. - Súlad s hlavičkami:
headers.security-headerspasívne kontroluje hlavičky odpovedí stránky, či sa v nich nenachádzajú rovnaké ovládacie prvky na posilnenie prehliadača, ktoré zdôrazňujú recenzie v štýle observatória, vrátane CSP, HSTS, X-Frame-Type-Options, X-Frame-Typtions Referrer-Policy a Permissions-Policy.
Sonda SSRF nevyžaduje deštruktívne požiadavky ani autentifikovaný prístup. Je zameraná na overené ciele a hlási konkrétne dôkazy spätného volania, a nie hádanie iba z názvov parametrov.