Sunucu tarafı istek sahteciliği

Önemli bilgiler

Positive Technologies tarafından hazırlanan bir rapora göre, test edilen web uygulamalarının %35'inin SSRF saldırılarına karşı savunmasız olduğu tespit edilmiştir.

SSRF güvenlik açıkları, 2019'da 100 milyondan fazla müşterinin hassas bilgilerini açığa çıkaran yüksek profilli Capital One veri ihlalinde önemli bir faktördü.

Sunucu Tarafı İstek Sahteciliği Nedir?

Sunucu Tarafı İstek Sahteciliği (SSRF), bir saldırganın bir sunucuyu dahili veya harici kaynaklara istenmeyen isteklerde bulunması için kandırabildiği bir güvenlik açığıdır. Bu istekler, istemci tarafı isteklerine kıyasla daha fazla ayrıcalığa ve erişime sahip olabilen sunucunun kendisinden yapılır. SSRF, dahili sistemlere erişim sağlamak, hassas verileri elde etmek veya kuruluşun ağında daha fazla saldırı gerçekleştirmek için kullanılabilir.

Sunucu Tarafı İstek Sahteciliği saldırıları nasıl çalışır?

Bir SSRF saldırısı tipik olarak aşağıdaki adımları içerir:

Güvenlik Açığının Tanımlanması: Saldırgan, kullanıcı tarafından sağlanan URL'leri işleyen veya HTTP istekleri yapabilen bir web uygulaması işlevi tanımlar.
Kötü Amaçlı İstek Oluşturma: Saldırgan, dahili veya hassas bir kaynağa URL içeren bir istek oluşturur.
Güvenlik Açığından Yararlanma: Sunucu kötü niyetli isteği işler ve belirtilen URL'ye istekte bulunur.
Hassas Verilere Erişim: Sunucunun isteği dahili sistemlerden veri alır ve bu veriler daha sonra saldırgana geri gönderilerek veri sızıntısına veya yetkisiz erişime yol açar.

‍

Sunucu Tarafı İstek Sahteciliği Saldırılarına Gerçek Hayattan Örnekler

Capital One Veri İhlali (2019): Saldırgan, AWS meta veri hizmetlerinden hassas bilgilere erişmek için bir SSRF güvenlik açığından yararlandı ve 100 milyondan fazla müşteri kaydının açığa çıkmasına neden oldu.
GitHub SSRF Güvenlik Açığı (2020): GitHub'ın depo yansıtma özelliğindeki bir güvenlik açığı, saldırganların dahili istekleri tetiklemesine ve potansiyel olarak dahili hizmetleri açığa çıkarmasına izin verdi.

Sunucu Tarafı İstek Sahteciliği Saldırılarının Göstergeleri

Olağandışı Giden Trafik Kalıpları: Sunucudan dahili IP adreslerine veya beklenmedik harici etki alanlarına beklenmedik giden isteklerin izlenmesi bir SSRF saldırısına işaret edebilir.
Beklenmeyen Erişim Günlükleri: Harici olarak erişilememesi gereken dahili hizmetlere veya kaynaklara yönelik talepleri gösteren erişim günlükleri kırmızı bayraktır.
Sunucu Yanıtlarındaki Anormallikler: Dahili meta veriler veya hassas bilgiler içeren yanıtların kullanıcıya döndürülmesi.

Sunucu Tarafı İstek Sahteciliği (SSRF) ve Cross-Site Request Forgery Arası İstek Sahteciliği (CSRF) Arasındaki Farklar

Sunucu Tarafı İstek Sahteciliği (SSRF) ve Cross-Site Request Forgery Arası İstek Sahteciliği (CSRF), istismar edilmeleri halinde ciddi sonuçlar doğurabilecek iki kritik web güvenlik açığıdır. Her iki saldırı türü de web uygulaması davranışını manipüle etmeyi içermekle birlikte, temelde farklı şekillerde çalışırlar ve web uygulamalarının farklı yönlerini hedef alırlar. SSRF ve CSRF arasındaki farkları anlamak, SOC ekiplerinin uygun güvenlik önlemlerini uygulaması ve sistemlerini etkili bir şekilde koruması için çok önemlidir.

Aşağıda SSRF ve CSRF arasındaki temel farkları vurgulayan ayrıntılı bir karşılaştırma tablosu yer almaktadır:

Aspect	Sunucu Tarafı İstek Sahteciliği (SSRF)	Cross-Site Request Forgery (CSRF)
Tanım	SSRF, bir saldırganın bir sunucuyu dahili veya harici kaynaklara istenmeyen isteklerde bulunmak üzere manipüle ettiği bir güvenlik açığıdır.	CSRF, bir saldırganın kimliği doğrulanmış bir kullanıcıyı kandırarak bir web uygulamasına istenmeyen isteklerde bulunmasını sağladığı bir güvenlik açığıdır.
Hedef	Sunucunun kendisi, saldırgan adına yetkisiz eylemler gerçekleştirmesine neden olur.	Kullanıcının tarayıcısı, kullanıcının bir web uygulamasıyla kimliği doğrulanmış oturumundan yararlanır.
Saldırı Vektörü	Genellikle sunucunun işlediği kullanıcı tarafından sağlanan girdi aracılığıyla sunucu tarafı isteklerini doğrudan manipüle eder.	Kullanıcıları kötü amaçlı bağlantıları tıklamaları veya kendi adlarına istek gönderen kötü amaçlı web sitelerini ziyaret etmeleri için kandırmak amacıyla sosyal mühendislik kullanır.
Etki	Dahili hizmetlere yetkisiz erişime, veri sızıntısına ve potansiyel olarak ciddi dahili ağ tehlikelerine yol açabilir.	Kullanıcı ayarlarını değiştirmek, işlem yapmak veya kullanıcının izni olmadan içerik yayınlamak gibi yetkisiz eylemlere neden olabilir.
Ortak Göstergeler	Olağandışı giden trafik modelleri, dahili kaynaklara beklenmedik erişim günlükleri ve sunucu yanıtlarındaki anormallikler.	Kullanıcı hesabı ayarlarında beklenmeyen değişiklikler, açıklanamayan finansal işlemler ve anormal etkinlik günlükleri.
Önleme Stratejileri	Kullanıcı girdisini doğrulama ve sterilize etme Giden istekleri kısıtlayın Ağ segmentasyonu Güvenlik başlıklarını kullanın Düzenli güvenlik denetimleri	CSRF karşıtı belirteçler kullanın SameSite çerez özniteliği Hassas eylemler için yeniden kimlik doğrulama Kullanıcıları şüpheli bağlantılar hakkında eğitin Düzenli güvenlik testleri

Etkili Önleme Stratejileri

1. Girdi Doğrulama ve Sanitizasyon:

Tüm kullanıcı girdilerini doğrulayın ve sterilize edin, yalnızca izin verilen URL'lere ve etki alanlarına izin verildiğinden emin olun.
Sunucunun talep edebileceği URL'ler için sıkı bir beyaz liste uygulayarak istenmeyen hedefleri önleyin.

2. Ağ Segmentasyonu ve İzolasyonu:

Web sunucularının uygun güvenlik kontrollerinden geçmeden dahili hizmetlere doğrudan erişememesini sağlamak için ağı bölümlere ayırın.
Hassas dahili kaynaklara sunucu erişimini kısıtlamak için güvenlik duvarlarını ve erişim kontrol listelerini (ACL'ler) kullanın.

3. Güvenlik Başlıklarının ve Protokollerinin Kullanımı:

Uygulama tarafından yüklenebilecek veya talep edilebilecek kaynakları kısıtlamak için İçerik Güvenliği Politikası (CSP) gibi güvenlik başlıklarını uygulayın.
Sunucu ve harici kaynaklar arasında şifreli iletişim sağlamak için HTTPS'yi zorlayın ve verilerin ele geçirilmesi riskini azaltın.

4. İzleme ve Günlüğe Kaydetme:

Giden trafiği sürekli olarak izleyin ve özellikle dahili IP adreslerine veya beklenmedik etki alanlarına yapılanlar olmak üzere tüm sunucu tarafı isteklerini günlüğe kaydedin.
Bir SSRF girişimine işaret edebilecek olağandışı istek modellerini belirlemek için anomali tespit sistemlerini kullanın.

5. Düzenli Güvenlik Denetimleri ve Sızma Testleri:

SSRF güvenlik açıklarını belirlemek ve ele almak için düzenli güvenlik denetimleri ve sızma testleri gerçekleştirin.
Potansiyel SSRF zayıflıklarını tespit etmek için OWASP ZAP, Burp Suite ve SSRF'ye özel tarayıcılar gibi otomatik araçlar kullanın.

6. En Az Ayrıcalık İlkesi:

En az ayrıcalık ilkesini uygulayarak web uygulamasının işlevlerini yerine getirmek için gereken minimum izinlere sahip olmasını sağlayın.
Sunucu yeteneklerini yalnızca kesinlikle gerekli olduğunda harici isteklerde bulunacak şekilde kısıtlayın.

Web uygulamalarınızın SSRF saldırılarına karşı güvenli olmasını sağlamak, veri bütünlüğünü korumak ve hassas bilgileri korumak için hayati önem taşır. Uygulamalarınızdaki SSRF güvenlik açıkları konusunda endişeleriniz varsa, Vectra AI ekibimiz size yardımcı olabilir. SSRF ve diğer siber tehditlere karşı savunmanızı güçlendirmede size nasıl yardımcı olabileceğimizi öğrenmek için Vectra AI Platformunda ücretsiz bir tura katılın.

Daha fazla siber güvenlik temelleri

Sıkça Sorulan Sorular

Sunucu Tarafı İstek Sahteciliği (SSRF) nedir?

SSRF, bir saldırganın bir sunucunun dahili veya harici kaynaklara istenmeyen isteklerde bulunmasını sağlayarak potansiyel olarak yetkisiz erişime ve veri sızıntısına yol açabileceği bir güvenlik açığıdır.

SSRF saldırısı nasıl çalışır?

Bir SSRF saldırısı tipik olarak, sunucunun dahili hizmetler veya saldırgan tarafından kontrol edilen harici sunucular gibi istenmeyen konumlara istek göndermesini sağlamak için genellikle kullanıcı tarafından sağlanan girdi yoluyla sunucu tarafındaki bir isteği manipüle ederek çalışır.

Bir SSRF saldırısının yaygın göstergeleri nelerdir?

Göstergeler arasında olağandışı giden trafik modelleri, dahili kaynaklara beklenmedik erişim günlükleri ve yetkisiz veri alımını düşündüren sunucu yanıtlarındaki anormallikler yer alır.

‍

SSRF saldırılarına bazı örnekler nelerdir?

Örnekler arasında dahili API'lere erişim, bulut hizmetlerinden meta veri alma ve hassas verilerin açığa çıkmasına veya yetkisiz eylemlere yol açabilecek dahili ağ hizmetleriyle etkileşim yer alır.

SSRF nasıl önlenebilir?

Önleyici tedbirler arasında kullanıcı girdisinin doğrulanması ve sterilize edilmesi, giden isteklerin güvenilir hedeflerle sınırlandırılması, ağ segmentasyonunun uygulanması ve yetkisiz erişimi engellemek için güvenlik duvarı kurallarının kullanılması yer alır.

SSRF güvenlik açığının etkisi nedir?

Etki, hedefe ve sunucunun ayrıcalıklarına bağlı olarak veri hırsızlığı ve dahili hizmetlere yetkisiz erişimden, uzaktan kod çalıştırma gibi daha fazla istismara olanak sağlamaya kadar değişebilir.

Girdi doğrulaması SSRF'nin önlenmesine nasıl yardımcı olur?

Girdi doğrulama, kullanıcı tarafından sağlanan verilerin sunucu tarafı isteklerini manipüle edebilecek kötü amaçlı yükler içermemesini sağlar ve böylece SSRF riskini azaltır.

SSRF azaltımında ağ segmentasyonu nasıl bir rol oynar?

Ağ segmentasyonu, sunucunun hassas dahili kaynaklarla etkileşim yeteneğini sınırlayarak SSRF istismarları için mevcut saldırı yüzeyini azaltır.

Güvenlik başlıkları SSRF'nin azaltılmasına nasıl yardımcı olabilir?

İçerik Güvenliği Politikası (CSP) gibi güvenlik başlıkları, uygulamanın hangi kaynaklarla etkileşime girebileceğini kısıtlayarak SSRF saldırılarına karşı bir savunma katmanı ekleyebilir.

SSRF güvenlik açıklarını tespit etmek için hangi araçlar kullanılabilir?

Burp Suite, OWASP ZAP ve SSRF'ye özel tarayıcılar gibi araçlar, web uygulamalarındaki SSRF güvenlik açıklarını belirlemeye ve analiz etmeye yardımcı olabilir.