OWASP Top 10 частина 10: Server-Side Request Forgery

21 жовтня 2024 1 хвилина Автор: Lady Liberty

Розповідаемо про SSRF (помилки запитів з боку сервера), які дозволяють зловмисникам спонукати сервер робити небажані запити до внутрішніх або зовнішніх ресурсів. Описуються методи виявлення та запобігання таким уразливостям з боку Blue Team та Red Team, а також рекомендації щодо валідації URL та обмеження доступу до захищених ресурсів.

Як захистити сервер від небезпечних запитів та уникнути витоку даних

Помилки запитів з боку сервера (SSRF) – це вразливості, що дозволяють зловмисникам спонукати сервер робити запити до внутрішніх ресурсів або зовнішніх ресурсів, які він не повинен запитувати.

1. Використання ненадійних даних для запитів:

  • Опис: Використання даних, отриманих від користувачів, для формування запитів без належної перевірки.

  • Приклад: Додаток, що дозволяє користувачам вказувати URL для запитів до внутрішніх ресурсів, що може призвести до витоку інформації.

2. Перехоплення запитів до внутрішніх ресурсів:

  • Опис: Зловмисники можуть спонукати сервер виконати запити до внутрішніх або захищених ресурсів.

  • Приклад: Використання вразливостей для доступу до внутрішніх API або сервісів, які не повинні бути доступними ззовні.

3. Відкриття конфіденційної інформації:

  • Опис: Використання запитів для отримання конфіденційної інформації з серверів.

  • Приклад: Отримання доступу до конфіденційних даних, які не повинні бути доступні зовні, наприклад, внутрішні інтерфейси або адміністративні панелі.

Blue team

1. Перевірка URL та валідація

Переконайтеся, що всі URL, які надходять від користувачів, правильно валідуються і перевіряються на допустимість. У PHP (Laravel) можна валідувати URL для запитів до API, щоб дозволити тільки безпечні домени:

2. Обмеження доступу до внутрішніх ресурсів

Уникайте доступу до внутрішніх ресурсів або захищених API через зовнішні запити. Додайте обмеження для доступу до локальних ресурсів і сервісів за допомогою конфігурацій:

Використовуйте списки дозволених URL для запитів, щоб уникнути доступу до несанкціонованих або небезпечних ресурсів.

 Red team

 1. Виявлення SSRF уразливостей

Перевірте, чи є уразливості SSRF у додатку, використовуючи різні URL. Надсилайте запити, які намагаються доступитися до локальних ресурсів або внутрішніх API:

Використовуйте інструменти для тестування, такі як Burp Suite або OWASP ZAP, щоб автоматизувати подачу запитів з потенційно небезпечними URL.

2. Тестування валідації URL

Спробуйте обійти механізми валідації URL, щоб перевірити, чи можливий доступ до внутрішніх ресурсів. Тестуйте, чи ваш запит може проходити через невалідовані або неперевірені URL:

Зміна параметрів запитів для перевірки, чи обробляються несанкціоновані URL або дані, які можуть виявити уразливість.

Інші статті по темі
OWASP Top 10
Читати далі
OWASP Top 10 частина 1: Broken Access Control
Broken Access Control — одна з найнебезпечніших вразливостей у переліку OWASP Top 10, яка дозволяє зловмисникам обійти механізми контролю доступу, отримати доступ до конфіденційних даних і виконувати несанкціоновані операції.
104
OWASP Top 10
Читати далі
OWASP Top 10 частина 2: Cryptographic Failures
Стаття розглядає основні види криптографічних вразливостей, їх вплив на безпеку систем, та дає практичні рекомендації для запобігання цих ризиків.
79
OWASP Top 10
Читати далі
OWASP Top 10 частина 3: Injection
н'єкції є однією з найпоширеніших вразливостей у веб-додатках, що дозволяють зловмисникам впроваджувати шкідливий код або дані.
79
OWASP Top 10
Читати далі
OWASP Top 10 частина 6: Vulnerable and Outdated Components
Використання старих версій бібліотек, відсутність регулярних оновлень та перевірки сторонніх компонентів, уразливі та застарілі компоненти є значною загрозою для безпеки систем.
68
OWASP Top 10
Читати далі
OWASP Top 10 частина 7: Identification and Authentication Failures
Помилки ідентифікації та автентифікації є критичними вразливостями, що можуть спричинити несанкціонований доступ до системи через використання слабких паролів, ненадійні механізми входу та брутфорс-атаки.
89
OWASP Top 10
Читати далі
OWASP Top 10 частина 8: Software and Data Integrity Failuress
Ви дізнаєтесь про основні проблеми, пов'язані з помилками цілісності програмного забезпечення та даних, зокрема про ненадійне зберігання даних, вразливості програмного забезпечення та загрози від ненадійних джерел.
82
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.