Подделка запроса на стороне сервера - Server-side request forgery

В компьютерной безопасности подделка запросов на стороне сервера (SSRF) это тип эксплуатировать когда злоумышленник злоупотребляет функциональностью сервера, заставляя его получать доступ или манипулировать информацией в области этого сервера, которая в противном случае не была бы напрямую доступна злоумышленнику.^[1]

Похожий на подделка межсайтового запроса который использует веб-клиент например, веб-браузер внутри домена в качестве прокси-сервера для атак; атака SSRF использует небезопасный сервер в домене в качестве доверенное лицо.

Если параметр URL-адреса уязвим для этой атаки, возможно, злоумышленник может разработать способы взаимодействия с сервером напрямую (например, через 127.0.0.1 или localhost) или с внутренними серверами, которые недоступны для внешних пользователей. Злоумышленник может практически просканировать всю сеть и получить конфиденциальную информацию.

Виды ССРФ -

я. Базовый SSRF: здесь злоумышленнику отображается ответ.

II. Слепой SSRF: Здесь ответ атакующему не отображается. (Трудно обнаружить с первого взгляда)

Базовый SSRF:

В этом типе атаки злоумышленнику отображается ответ. Сервер получает URL-адрес, запрошенный злоумышленником, и отправляет ответ злоумышленнику.

Слепой ССРФ:

В этом типе атаки ответ злоумышленнику не отправляется. Следовательно, злоумышленник должен разработать способы подтверждения этой уязвимости.

использованная литература

^ «Проект безопасности открытых веб-приложений». OWASP.org. Получено 23 июля 2018.

Эта компьютерная безопасность статья - это заглушка. Вы можете помочь Википедии расширяя это.

[1] «Проект безопасности открытых веб-приложений». OWASP.org. Получено 23 июля 2018.

[1]