Server-Side Request Forgery


Eigenschappen

VoorkeurslabelServer-Side Request Forgery
AfkortingSSRF
DefinitieIn computerbeveiliging is server-side request forgery (SSRF) een type exploit waarbij een aanvaller misbruik maakt van de functionaliteit van een server waardoor deze toegang krijgt tot informatie in het rijk van die server of deze manipuleert die anders niet direct toegankelijk zou zijn voor de aanvaller.
SynoniemSSRF
Toelichting op definitieVergelijkbaar met cross-site request forgery waarbij een webclient , bijvoorbeeld een webbrowser, binnen het domein wordt gebruikt als proxy voor aanvallen; een SSRF-aanval gebruikt een onveilige server binnen het domein als proxy .

Als een parameter van een url kwetsbaar is voor deze aanval, is het mogelijk dat een aanvaller manieren kan bedenken om rechtstreeks met de server te communiceren (dwz: via 127.0.0.1 of localhost) of met de backend-servers die niet toegankelijk zijn voor de externe gebruikers. Een aanvaller kan praktisch het hele netwerk scannen en gevoelige informatie achterhalen.

  • Basis SSRF: Bij dit type aanval wordt de reactie aan de aanvaller getoond. De server haalt de door de aanvaller opgevraagde URL op en stuurt het antwoord terug naar de aanvaller.
  • Blinde SSRF: Bij dit type aanval wordt het antwoord niet teruggestuurd naar de aanvaller. Daarom moet de aanvaller manieren bedenken om deze kwetsbaarheid te bevestigen.
Voorbeeldhttps://owasp.org/www-community/attacks/Server_Side_Request_Forgery
Exacte overeenkomsthttps://en.wikipedia.org/wiki/Server-side_request_forgery
Afbeelding van20160506-SSRF-1-1.png


exploiting_ssrf_vulnerability.png
Video van
StatusConcept

Relaties

VertrekpuntRelatieEindpunten
Server-Side Request ForgeryBreder
Server-Side Request ForgeryBron van

Afgeleide relaties

VertrekpuntRelatieEindpunt
Rdf.jpg