Sunucu Talep Sahteciliği (SSRF) Hakkında Bilmeniz Gerekenler

'Exploitler' forumunda Luxury tarafından 25 Aralık 2017 tarihinde açılan konu

Etiketler:
  1. Luxury

    Luxury Sorunsuz Site Yetkilisi Kurucu

    Mesaj:
    413
    Beğeniler:
    696
    Cinsiyet:
    Erkek
    Şehir:
    Moskova
    SSRF veya Sunucu Tarafı Talep Sahtekarlıkları, uzun süredir dolaşan bir saldırı vektörüdür, ancak bunun ne olduğunu gerçekten biliyor musunuz? Sunucu Tarafı İstek Sahteciliği (SSRF), bir saldırganın savunmasız bir web uygulamasından hazır bir istek gönderebildiği bir saldırıya karşılık gelir. SSRF, genellikle saldırganın harici ağdan erişemeyeceği güvenlik duvarlarının ardındaki iç sistemleri hedeflemek için kullanılır.

    [​IMG]

    Genellikle, bir web uygulaması bir saldırganın gönderilen isteğin tam veya kısmi denetime sahip olduğu bir istekte bulunulduğunda, Sunucu Tarafı İstek Sahteciliği (SSRF) oluşur. Genel bir örnek, bir saldırganın web uygulamasının bazı üçüncü taraf hizmetlerine istekte bulunduğu URL'nin tamamını veya bir kısmını denetleyebileceği durumdur.

    SSRF'yi aşağıdakiler gibi kullanabileceğiniz çeşitli şeyler vardır:

    Güvenlik açığı bulunan sunucunun özel ağındaki diğer makinelere harici olarak erişilemeyen tarama
    Uzak Dosya Ekleme (RFI) saldırılarını gerçekleştirme
    Güvenlik duvarlarını atlamak ve savunmasız sunucuyu kötü niyetli saldırıları yapmak için kullanmak
    Sunucu dosyalarını alma (/ etc / passwd vb dahil)
    Bu PHP'de SSRF'ye açık olan örnek koddur:

    PHP:
    <?php
    /**
    * Check if the 'url' GET variable is set
    * Example - http://localhost/?url=http://testphp.vulnweb.com/images/logo.gif
    */
    if (isset($_GET['url'])){
    $url $_GET['url'];
    /**
    * Send a request vulnerable to SSRF since
    * no validation is being done on $url
    * before sending the request
    */
    $image fopen($url'rb');
    /**
    * Send the correct response headers
    */
    header("Content-Type: image/png");
    /**
    * Dump the contents of the image
    */
    fpassthru($image);
    }
     
    KocaReis, MrTuRkIsH, root ve 1 kişi daha bunu beğendi.
  2. Fatalite

    Fatalite Emir Veren | Emir Alan ? Kayıtlı Üye

    Mesaj:
    565
    Beğeniler:
    480
    Şehir:
    MEXICO LOS CABOS
    Tesekkurler
     
    MrTuRkIsH bunu beğendi.
Yükleniyor...

Bu Sayfayı Paylaş