OWASP Top Ten 2021 - A10 Server-Side Request Forgery (SSRF)

owasp-a10

Il Server-side request forgery è una vulnerabilità che consente a un utente malintenzionato di indurre l'applicazione lato server a effettuare richieste a una destinazione/risorsa non prevista.

Gli attacchi Server-Side Request Forgery (SSRF) sono un tipo di vulnerabilità in cui un attaccante può manipolare un parametro dell'applicazione web per creare o controllare le richieste in un server vulnerabile. Questi attacchi sono spesso utilizzati dagli aggressori per colpire sistemi interni inaccessibili dalla rete esterna e solitamente protetti da un firewall.

Il caso più comune è quello di un'applicazione che, per implementare una funzione, esegue richieste HTTPS a un servizio di terze parti. Questa richiesta può essere necessaria per: consultare una API, scaricare un pacchetto o recuperare informazioni relative all’utente tramite un account (ad esempio, Facebook, Gravatar). Un attaccante potrebbe sfruttare questa funzione per fare richieste verso, per esempio, un dominio sotto il suo controllo.

OWASP Top 10 Application Security Risks - 2021 Riferimento
A10:2021-Server-side request forgery (SSRF) OWASP


Un attacco SSRF riuscito può consentire a un attaccante di scalare e muoversi lateralmente dietro il firewall del server web back-end senza limitazioni, portando alla potenziale compromissione totale della riservatezza, dell'integrità e della disponibilità dell'applicazione.

Francesco Ongaro

Richiedi maggiori informazioni a riguardo

Oppure chiamaci al
(+39) 045 4853232


Post Recenti

Visita il blog


Tags Popolari


🎉 Vogliamo parlarti! Fissa un appuntamento!