Sunucu taraflı istek sahteciliği

Server-side request forgery (" SSRF "), bir bilgisayar güvenliği exploit türü olup, saldırganın bir sunucunun fonksiyonlarını kötüye kullanarak o sunucunun alanında bulunan ama aksi takdirde saldırganın doğrudan erişemeyeceği bilgilere erişmesine veya bu bilgileri manipüle etmesine neden olur.[1]

CSRF'nin etki alanı içindeki bir web tarayıcısı gibi bir web istemcisini saldırılar için proxy olarak kullanmasına benzer şekilde, SSRF saldırısı da etki alanı içindeki savunmasız bir sunucuyu proxy olarak kullanır.

Bir URL'nin bir parametresi bu saldırıya karşı savunmasızsa, bir saldırganın sunucuyla direkt olarak (yani 127.0.0.1 veya localhost üzerinden) veya dış kullanıcılar tarafından erişilemeyen backend sunucularla etkileşime geçmenin yollarını bulması mümkündür. Bir saldırgan pratik olarak tüm ağı tarayabilir ve hassas bilgileri alabilir.

Bu saldırı türünde yanıt saldırgana gösterilir. Sunucu, saldırgan tarafından talep edilen URL'yi alır ve yanıtı saldırgana geri gönderir.

Bu tür bir saldırıda yanıt saldırgana geri gönderilmez. Bu nedenle, saldırganın bu güvenlik açığını doğrulamak için yöntemler geliştirmesi gerekir.

Kaynakça

değiştir
  1. ^ "Server Side Request Forgery | OWASP Foundation". owasp.org (İngilizce). 14 Şubat 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Mart 2023.