OWASP TOP 10 — SSRF

OWASP — это международная некоммерческая организация, которая совместно работает над укреплением безопасности программного обеспечения во всем мире.

Каждый год он обновляет свой список десятью наиболее распространенными на сегодняшний день уязвимостями. Самый последний, от 2021 года:

OWASP TOP 10: 2021

1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and outdated components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forgery (SSRF)
Войдите в полноэкранный режим Выход из полноэкранного режима

В этой статье мы изучим уязвимость 10, а также рассмотрим некоторые способы предотвращения SSRF-атак с точки зрения разработчика программного обеспечения.

SSRF

Подделка запросов со стороны сервера — или SSRF — является одним из дополнений OWASP к списку 2021 года. Он работает путем «обмана» сервера, заставляя его сделать запрос во внешнюю сеть, но создавая видимость, что запрос делается во внутреннюю сеть. Таким образом, злоумышленники получают доступ к тем областям, которые не должны быть доступны извне, например, к интрасети или административным страницам. Этот тип атаки может раскрыть конфиденциальные данные, такие как метаданные из облака, где размещена служба, внутренние файлы с конфиденциальной информацией или даже выполнить RCE или DoS атаки внутри сервера.

Как защитить себя с помощью программного обеспечения

Самый простой способ избежать этой проблемы — обеспечить безопасность пользовательского ввода, гарантируя, что к нему допускается только та информация, которая ожидается. Лучший способ обеспечить это — хорошее покрытие тестами, как модульными, так и e2e. Отключение HTTP-перенаправлений, использование схемы URL, порта и места назначения со списком разрешенных записей, отказ от отправки необработанных ответов клиенту и обеспечение согласованности URL также являются рекомендуемыми мерами для снижения риска атаки SSRF.

На внешнем уровне OWASP дает дополнительную рекомендацию: использование сетевого шифрования (например, VPN) для работы с выделенными и/или управляемыми группами пользователей.

Существует еще 9 уязвимостей, которые мы рассмотрим в последующих статьях.

Список ссылок

OWASP — Шпаргалка по предотвращению подделки запросов на стороне сервера
CWE-918 Подделка запросов со стороны сервера (SSRF)
Библия SSRF

Изображение из книги Руки прочь от моих меток! Михаил Гайда by Pixabay

Оцените статью
Procodings.ru
Добавить комментарий