Visión general
Esta categoría se agrega de la encuesta de la comunidad Top 10 (#1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de prueba por encima del promedio y calificaciones de potencial de Explotación e Impacto por encima del promedio. Como es probable que las nuevas entradas sean un grupo único o pequeño de Enumeraciones de debilidades comunes (CWE) para la atención y la conciencia, la esperanza es que estén sujetas a enfoque y puedan incorporarse a una categoría más grande en una edición futura.
Descripción
Las fallas de SSRF ocurren cada vez que una aplicación web obtiene un recurso remoto sin validar la URL proporcionada por el usuario. Permite a un atacante obligar a la aplicación a enviar una solicitud manipulada a un destino inesperado, incluso cuando está protegida por un firewall, VPN u otro tipo de lista de control de acceso a la red (ACL).
A medida que las aplicaciones web modernas brindan a los usuarios finales funciones convenientes, obtener una URL se convierte en un escenario común. Como resultado, la incidencia de SSRF está aumentando. Además, la gravedad de SSRF es cada vez mayor debido a los servicios en la nube y la complejidad de las arquitecturas.
Como prevenir
Los desarrolladores pueden evitar SSRF implementando algunos o todos los siguientes controles de defensa en profundidad:
Desde la capa de red
-
Segmente la funcionalidad de acceso a recursos remotos en redes separadas para reducir el impacto de SSRF
-
Aplique políticas de firewall de “negar por defecto” o reglas de control de acceso a la red para bloquear todo el tráfico de intranet excepto el esencial. Sugerencias: ~ Establezca una propiedad y un ciclo de vida para las reglas de firewall basadas en aplicaciones. ~ Registre todos los flujos de red aceptados y bloqueados en los firewalls (consulte ).
Desde la capa de aplicación:
-
Desinfecte y valide todos los datos de entrada proporcionados por el cliente
-
Hacer cumplir el esquema de URL, el puerto y el destino con una lista de permitidos positiva
-
No envíe respuestas crudas a los clientes
-
Deshabilitar las redirecciones HTTP
-
Tenga en cuenta la consistencia de la URL para evitar ataques como el reenlace de DNS y las condiciones de carrera de “tiempo de verificación, tiempo de uso” (TOCTOU)
No mitigue SSRF mediante el uso de una lista de denegación o una expresión regular. Los atacantes tienen listas de carga útil, herramientas y habilidades para eludir las listas de denegación.
Medidas adicionales a considerar:
-
No implemente otros servicios relevantes para la seguridad en sistemas frontales (por ejemplo, OpenID). Controle el tráfico local en estos sistemas (por ejemplo, localhost)
-
Para frontends con grupos de usuarios dedicados y manejables, use el cifrado de red (por ejemplo, VPN) en sistemas independientes para considerar necesidades de protección muy altas
Ejemplos de escenarios de ataque
Los atacantes pueden usar SSRF para atacar sistemas protegidos detrás de firewalls de aplicaciones web, firewalls o ACL de red, utilizando escenarios como:
Escenario n.º 1: servidores internos de exploración de puertos: si la arquitectura de la red no está segmentada, los atacantes pueden mapear las redes internas y determinar si los puertos están abiertos o cerrados en los servidores internos a partir de los resultados de la conexión o el tiempo transcurrido para conectarse o rechazar las conexiones de carga útil SSRF.
Escenario n.º 2: exposición de datos confidenciales: los atacantes pueden acceder a archivos locales o servicios internos para obtener información confidencial, como
file:///etc/passwd
y
http://localhost:28017/
.
Escenario n.º 3: acceder al almacenamiento de metadatos de los servicios en la nube: la mayoría de los proveedores de la nube tienen almacenamiento de metadatos como
http://169.254.169.254/
. Un atacante puede leer los metadatos para obtener información confidencial.
Escenario #4: comprometer los servicios internos: el atacante puede abusar de los servicios internos para realizar más ataques, como la ejecución remota de código (RCE) o la denegación de servicio (DoS).
Referencias
Lista de CWE mapeados
Más información:
Relacionado
Como una de las estructuras de control básicas en la programación, los bucles son casi una adición diaria al código que escribimos. El bucle forEach clásico es uno de los primeros fragmentos de código que aprendemos a escribir como programadores. Si fueras un desarrollador de Javascript, sabrías que Javascript no es ajeno a la iteración a través de los elementos de una matriz o un mapa ¡SEGUIR LEYENDO!
Como sabemos, Sci-hub es un sitio web increíble con millones de artículos de investigación para todos los estudiantes universitarios y académicos. El sitio web de Sci-Hub se encarga de obtener los artículos de investigación y artículos de pago utilizando las credenciales que se filtran. La fuente de credenciales utilizada por este sitio web no está clara. Sin embargo, se supone que muchas de ellas son donadas, ¡SEGUIR LEYENDO!
Aunque haya sido usuario de Windows durante décadas, el sistema operativo es tan amplio y complejo que siempre existen características útiles, pero menos conocidas, que podrían sorprenderte. En este sentido, he identificado diez funciones poco conocidas de Windows que pueden potenciar su eficiencia, comodidad e incluso su experiencia de uso lúdico en su PC.
- Procesador Dual-Core Intel Pentium Gold 4425Y (2...
- Memoria RAM de 8 GB LPDDR3
- Disco SSD de 128 GB
El rumor en torno a las criptomonedas no se desvanece por mucho que existan grandes pesimistas alrededor de los malos rumores. Entonces, si consideras invertir en el mundo de las criptomonedas, deberías estar atento a las criptomonedas que se espera que tengan un buen desempeño para el resto de 2021. En los últimos tiempos, los tokens DeFi están recibiendo toda la atención y es más que ¡SEGUIR LEYENDO!
Los cambios de paradigma revolucionarios debido a los desarrollos de la robótica en todo el mundo están generando nuevos puntos de vista en muchos sectores, entre ellos en los de la industria y la tecnología. Con la ayuda de la Inteligencia Artificial, la tecnología produce resultados innovadores cada segundo y el campo de la robótica define y reconfigura su uso a cada instante. Cada día que ¡SEGUIR LEYENDO!
Bienvenidos desarrolladores web y de software, estamos en los inicios de 2023 y es posible que muchos se esten planteado sus objetivos para lo largo del año. Con anterioridad ya he compartidos las rutas de aprendizaje para un desarrollador front-end, un desarrollador full-stack o un desarrollador back-end entre otros muchos contenidos más. En este artículo, me gustaría compartir algunos de los mejores frameworks y bibliotecas para ¡SEGUIR LEYENDO!
GitHub es el lugar que debes buscar cuando intentas mejorar como desarrollador, toda la información que necesitas está disponible en algún repositorio que alguien ya se ha molestado en indexar. Sin embargo, la parte complicado es encontrar el repositorio más adecuado. Es fácil sentirse perdido en todos los repositorios disponibles dentro de GitHub. Para ayudarte, he elaborado una lista de 10 repositorios de GitHub que pueden ¡SEGUIR LEYENDO!