Серверлік сұранысты қолдан жасау - Server-side request forgery

Компьютер қауіпсіздігінде серверлік сұранысты қолдан жасау (SSRF) түрі болып табылады пайдалану мұнда шабуылдаушы сервердің функционалдығын бұзып, оны сол сервер аймағында шабуылдаушыға тікелей қол жетімді болмайтын ақпаратқа қол жеткізуге немесе басқаруға мүмкіндік береді.^[1]

Ұқсас сайтаралық сұранысты қолдан жасау пайдаланатын а веб-клиент мысалы, шабуылдар үшін прокси ретінде домен ішіндегі веб-шолғыш; SSRF шабуылы а ретінде домен ішіндегі қауіпті серверді қолданады сенімхат.

Егер url параметрі осы шабуылға осал болса, қаскүнем тікелей сервермен (мысалы: 127.0.0.1 немесе localhost арқылы) немесе сыртқы пайдаланушылар қол жеткізе алмайтын сервер серверлерімен өзара әрекеттесу тәсілдерін ойластыруы мүмкін. Шабуылшы іс жүзінде бүкіл желіні сканерлеп, құпия ақпаратты ала алады.

SSRF түрлері -

мен. Негізгі SSRF: жауап шабуылдаушыға көрсетіледі.

II. Соқыр SSRF: жауап шабуылдаушыға көрсетілмейді. (Бір қарағанда анықтау қиын)

Негізгі SSRF:

Шабуылдың бұл түрінде шабуылдаушыға жауап көрсетіледі. Сервер шабуылдаушы сұраған URL мекенжайын алып, жауабын шабуылдаушыға қайта жібереді.

Соқыр SSRF:

Шабуылдың бұл түрінде жауап шабуылшыға кері жіберілмейді. Сондықтан шабуылдаушы осы осалдығын растайтын тәсілдерді ойлап табуы керек.

Әдебиеттер тізімі

Бұл компьютердің қауіпсіздігі мақала бұта. Сіз Уикипедияға көмектесе аласыз оны кеңейту.