Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Server-Side Request Forgery (SSRF)

Server-Side Request Forgery (SSRF)

17 Фев 2022

Server-Side Request Forgery — это дефект безопасности, который позволяет злоумышленнику отправлять запросы от имени скомпрометированного сервера.

Например, риск атаки SSRF может возникнуть, если приложение для формирования запросов использует непроверенные внешние данные. Злоумышленник может спровоцировать отправку вредоносных запросов к ресурсам, которые не доступны напрямую ему самому, но доступны серверу.

Ещё один вариант эксплуатации SSRF – маскировка запросов. Злоумышленник "прикрывается" уязвимым сервером (посредником), для выполнения запросов к другому серверу (целевому). В таком случае со стороны целевого сервера будет казаться, что все запросы инициируются посредником, хотя он является лишь промежуточным звеном.

Стоит отметить, что SSRF также может быть следствием XXE-атаки.

Серьёзность SSRF с каждым годом возрастает из-за нескольких факторов. Разработчики стараются предоставить пользователям всё более удобные функции, поэтому получение URL от пользователя становится популярнее. Также стремительно развиваются облачные сервисы и возрастает сложность архитектур, что затрудняет создание эффективной защиты от этой атаки.

В OWASP ASVS 4.0.3 SSRF связан с позициями 5.2.6 и 12.6.1, а в списке OWASP Top Ten 2021 относится к категории A10:2021 – Server-Side Request Forgery (SSRF). В Common Weakness Enumeration данная уязвимость соответствует CWE-918.

Пример уязвимости

Чтобы лучше понять SSRF, приведём следующий пример:

void ServerSideRequestForgery()
{
  var url = Request.QueryString["url"];
  WebRequest request = WebRequest.Create(url);
  WebResponse response = request.GetResponse();
  using (Stream stream = response.GetResponseStream())
  {
    using (StreamReader reader = new StreamReader(stream))
    {
      ....
    }
  }
  response.Close();
}

В коде от пользователя приходит URL, по которому происходит обращение к соответствующему ресурсу.

Приведём пример запроса к серверу на удаление пользователя:

http://website/admin/delete?username=testSSRF

Предполагается, что сервер исполняет подобные запросы только от себя или от доверенных устройств. Если злоумышленник попробует отправить запрос на удаление пользователя напрямую (в виде, представленном выше), то сервер не будет его обрабатывать.

Однако злоумышленник может сформировать запрос другим образом:

http://localhost/admin/delete?username=testSSRF

Исходя из переданного адреса, сервер адресует запрос себе же. В таком случае запрос будет исполнен и произойдёт удаление пользователя.

Предотвращение SSRF

Уровень настроек сервера

  • Разбить сеть на сегменты и ограничить доступ к ресурсам за их пределами для снижения влияния SSRF.
  • Применение политики брандмауэра "запретить по умолчанию" для фильтрации трафика.

Уровень кода

  • Проверка всех входных данных, предоставленных пользователем.
  • Используйте схему URL-адреса, порт и место назначения с положительным списком разрешений.

Также стоит заметить, что при борьбе с SSRF не стоит использовать запрещённый список или регулярные выражения. Злоумышленник может легко обойти эти ограничения. Например, для этого он может использовать перенаправление. В таком случае злоумышленник создаёт внешний ресурс, который в качестве ответа перенаправляет на другой URL. Также для обхода ограничений используют, альтернативные представления:  

http://2130706433/ = http://127.0.0.1

http://0x7f000001/ = http://127.0.0.1

Пример борьбы с SSRF с использованием проверки предоставленных данных:

string ServerSideRequestForgery()
{
  var url = Request.QueryString["url"];
  if (!wList.Contains(url))
    return "Forbidden URL";

  WebRequest request = WebRequest.Create(url);
  ....
}

В этом случае отправка запроса будет осуществляться только на разрешённые адреса. Если такое решение по каким-то причинам не подходит, то стоит изменить логику работы приложения. Например, если требуется изображение, то стоит запрашивать не URL, а сам файл.

Дополнительные ссылки

Популярные статьи по теме
Комментарии в коде как вид искусства

Дата: 04 Май 2022

Автор: Сергей Хренов

Приветствую всех программистов, а также сочувствующих. Кто из нас хотя бы раз в жизни не оставлял комментарии в коде? Был ли это ваш код, а может, чужой? Что за комментарии вы написали: полезные или …
Visual Studio 2022 стильно и свежо. История о её поддержке в PVS-Studio

Дата: 15 Фев 2022

Автор: Николай Миронов

Кажется, анонс Visual Studio 2022 был только недавно, и вот она уже вышла. Это означало ровно одно – поддержать данную IDE нужно в ближайшем релизе PVS-Studio. О том, с какими сложностями пришлось ст…
Лучшие срабатывания статического анализатора

Дата: 29 Окт 2021

Автор: Максим Звягинцев

У всех, кто запускал статический анализатор в первый раз на большом проекте, был небольшой шок по поводу сотен, тысяч или даже десятков тысяч предупреждений. Как-то грустно становится после такого. Т…
Зачем нужна техническая поддержка и как в ней не выгореть?

Дата: 01 Сен 2021

Автор: Николай Миронов

Не всем нравится работать в поддержке. Огромное количество людей выгорает на ней. Так может не стоит вообще её иметь? Какую выгоду она несёт? Можно ли как-то не выгорать от поддержки? Попробуем найти…
Как делался новый дизайн сайта PVS-Studio

Дата: 04 Июн 2021

Автор: Инна Пристягина

Сайту PVS-Studio в этом году исполнится 15 лет. Это солидный возраст для любого интернет-ресурса. Далёкий 2006-й в России был признан годом гуманитарных наук. В июне появилась никому не знакомая тогд…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять