OWASP é uma entidade internacional sem fins lucrativos que atua de forma colaborativa com o fortalecimento da segurança de software no mundo todo。
De anos em anos ela atualiza a sua lista com as dez vulnerabilidades mais comuns na atualidade。 A mais recente, de 2021, é:
OWASP TOP 10: 2021 1. Broken Access Control 2. Cryptographic Failures 3. Injection 4. Insecure Design 5. Security Misconfiguration 6. Vulnerable and outdated components 7. Identification and Authentication Failures 8. Software and Data Integrity Failures 9. Security Logging and Monitoring Failures 10. Server-Side Request Forgery (SSRF)
Nesse artigo, iremos explorar a vulnerabilidade 10, além de ver algumas formas de previnir ataques SSRF da ótica da pessoa desenvolvedora de software。
SSRF
服务器端请求伪造 – ou SSRF – é uma das adições da OWASP à lista de 2021 uma rede 国际。 Assim, os atacantes conseguem acesso a áreas que não deveriam ser acessadas externamente, como intranets ou páginas administrativas。 Este tipo de ataque pode expor dados sensíveis como metadados da cloud onde o serviço é hospedado, arquivos internos com informações sensíveis ou até mesmo executar ataques RCE ou DoS dentro do servidor。
Como se proteger 通过软件
A forma mais simples de evitar este problema é proteger a entrada do usuário, garantindo que somente as informações que são esperadas sejam permitidas。 A melhor forma de garantir isso ainda é com uma boa cobertura de testes, tanto unitários quanto e2e。 Desabilitar redirecionamentos HTTP, o uso de um URL Schema, port e destination, com uma lista das entradas autorizadas, o não envio de raw response para o cliente ea garantia de Consência da URL também são medidas recomendadas para mitigar os riscos de um ataque SSRF。
Na camada do frontend, a OWASP tem uma recomendação extra: o uso de criptografia de rede (como por exemplo VPNs) para lidar com grupos de usuários dedicados e/ou gerenciáveis。
Existem ainda outras 9 vulnerabilidades, das quais iremos tratar em artigosteriores。
参考清单
OWASP – 服务器端请求伪造预防备忘单
CWE-918 服务器端请求伪造(SSRF)
SSRF圣经
Imagem de 放开我的标签!迈克尔·盖达(Michael Gaida)