آسیب پذیری درخواست جعل درخواست سرور (یا SSRF) می تواند منجر به مصالحه در کل سیستم شود و در صورت بهره برداری امکان دسترسی به زیرساخت های داخلی یا ابری یک سازمان را فراهم می کند. امروز ، آنها در میان ده آسیب پذیری برتر HackerOne قرار دارند و بیش از 100000 دلار در هر ماه برای هکرها درآمد دارند. در آوریل سال جاری ، 196 آسیب پذیری SSRF در برنامه های مشتری HackerOne پیدا شد ، 28 درصد بیشتر از مارس.
SSRF چیست؟
SSRF یک آسیب پذیری امنیت وب است که امکان تغییر ، استخراج یا انتشار داده ها را با بهره برداری از URL در برنامه سمت سرور فراهم می کند. این موارد بیشتر در برنامه هایی دیده می شوند که کاربران می توانند دارایی را از یک منبع خارجی مانند وب قلاب ها ، یکپارچه سازی ها و تولیدکننده های PDF بارگیری کنند.
از لحاظ تاریخی ، اشکالات SSRF نسبتاً خوش خیم بودند زیرا فقط اجازه اسکن شبکه داخلی و گاهی دسترسی به پنل های مدیریت داخلی را می دادند. هنوز هم ، ظهور معماری ابر به دلیل سرویس ابرداده ابر ، ناخواسته سازمان ها را در معرض خطر بیشتری قرار داده است. به جای اینکه به یک منبع خارجی اشاره کند ، مهاجم در صورت آسیب پذیری می تواند به یک منبع داخلی اشاره کند. اگرچه این سرویس از خارج از فایروال قابل استعلام نیست ، اما آسیب پذیری SSRF و از دست رفتن …