Atak SSRF zagraża aplikacjom, które korzystają z zewnętrznych zasobów w postaci plików, interfejsów API czy całych baz danych, udostępniając użytkownikom możliwość wskazywania adresów URL. Może to być m.in. popularna funkcja wgrywania na serwer aplikacji zdjęć znajdujących się w innej witrynie poprzez wklejenie odnośnika.

Zagrożenie polega na manipulowaniu danymi wejściowymi w taki sposób, by wskazywały na określone zasoby zewnętrzne lub wewnętrzne, a serwer zwrócił informacje nieprzeznaczone dla użytkowników.W krytycznych przypadkach, jeśli aplikacja nie jest zabezpieczona przed takimi żądaniami, wykorzystanie odpowiednich URL-i wskazujących adresy lokalnych baz danych może pozwolić na uzyskanie poufnych informacji znajdujących się na serwerze aplikacji. Uzyskane w ten sposób dane mogą być z kolei wykorzystane do przeprowadzenia kolejnych ataków. SSRF daje atakującym bardzo szerokie możliwości i może być przeprowadzony na wiele różnych sposobów.

Należy jednak odróżnić atak SSRF od takich technik, jak enumeracja zasobów, która polega na systematycznym sprawdzaniu różnych adresów URL w celu odnalezienia niepublicznych zasobów. W przypadku SSRF kluczowe jest wykorzystanie serwera jako pośrednika do uzyskania dostępu do wewnętrznych systemów, podczas gdy enumeracja bazuje na metodzie prób i błędów przy odkrywaniu istniejących adresów.

Server Side Request Forgery nie jest nowością w świecie cyberzagrożeń. Tego rodzaju podatności znane są od czasów pierwszych aplikacji webowych, ale w świecie coraz powszechniej wykorzystywanej chmury, mikrousług oraz integracji z zewnętrznymi interfejsami API SSRF, staną się coraz bardziej uciążliwym zagrożeniem. Możemy wyróżnić trzy główne typy Server Side Request Forgery:

• Podstawowy atak SSRF – polega na wykorzystaniu podatności aplikacji i wysyłaniu żądań HTTP w celu pozyskania danych zlokalizowanych w wewnętrznych bazach i serwerach niedostępnych dla legalnych użytkowników.


• Ślepy atak SSRF (ang.: Blind SSRF – wykorzystuje żądania HTTP do uzyskania informacji nawet w sytuacji, gdy aplikacja nie wraca do atakującego z konkretnymi danymi. Wykorzystując spreparowane dane wejściowe, haker może obserwować zmiany w aplikacji, takie jak inny czas odpowiedzi czy kody błędów, i w ten sposób np. wydedukować, czy pod danym adresem istnieje baza danych.


• Skanowanie portów za pomocą SSRF – podatność aplikacji może zostać wykorzystana do mapowania systemu i poszukiwania luk w zabezpieczeniach. Wystarczy, że atakujący będzie kierował żądania HTTP do różnych portów. Analiza odpowiedzi aplikacji pozwoli poznać otwarte porty oraz działające na nich usługi.

W zależności od zastosowanej metody, atakujący może zebrać różne informacje. Niektóre z typów ataków są też łatwiejsze do wykrycia od innych.

Wykrywanie ataków SSRF kierowanych na firmowe aplikacje jest trudne, ponieważ żądania wyglądają często na legalne zapytania HTTP i nie wzbudzają alertów bezpieczeństwa. Widoczność tego rodzaju zagrożeń daje jednak monitorowanie ruchu przychodzącego i wychodzącego oraz analiza logów w poszukiwaniu anomalii. Czujność powinny wzbudzić żądania kierowane do nietypowych adresów i lokalizacji wewnętrznych, wykorzystanie protokołów file:// oraz ftp://, czy gwałtowny wzrost ruchu wychodzącego, który może wskazywać na skanowanie portów.

Oczywistym jest, że ataki SSRF mogą sprawić firmie wiele kłopotów: od paraliżu procesów w wyniku przytłaczającą liczbą żądań, uniemożliwiającą obsługę legalnych zapytań, po kradzież wrażliwych danych i wszystkie tego konsekwencje. Takie sytuacje narażają dobrą opinię firmy oraz mogą wiązać się z karami za brak zgodności z obowiązującymi przepisami.

Naturalną potrzebą jest więc ochrona aplikacji przed tego rodzaju atakami i unikanie groźnych podatności. W tym celu aplikacje, umożliwiające wprowadzanie danych wejściowych, powinny korzystać z rygorystycznej walidacji i filtrowania. Dzięki zastosowaniu tych mechanizmów aplikacja może sprawdzić, czy podany URL jest zgodny z ustaloną polityką bezpieczeństwa i nie wskazuje na wewnętrzne zasoby. Dobrą praktyką jest izolacja aplikacji w kontenerach lub stosowanie innych mechanizmów ograniczających dostęp aplikacji do zasobów wewnętrznych.

Jednym z podstawowych sposobów ochrony aplikacji przed popularnymi zagrożeniami, w tym SSRF, XSS czy SQLi, jest stosowanie rozwiązań WAF – Web Application Firewall. Specjalnie opracowany rodzaj zapory sieciowej filtruje ruch przychodzący i wychodzący z aplikacji, blokując podejrzane żądania, i uniemożliwia uzyskanie dostępu do krytycznych zasobów.

Kluczową rolę w wykrywaniu podatności na ataki SSRF odgrywają webowe skany podatności aplikacji oraz testy penetracyjne (w ramach profesjonalnych usług IT security. Regularne testowanie aplikacji pozwala na wczesne wykrycie i eliminację zagrożeń, zanim zostaną one wykorzystane przez cyberprzestępców.

Wiele firm pozwala ponadto wykazać się swoim użytkownikom, zachęcając ich nagrodami do wyszukiwania podatności w ramach programów Bug Bounty. Odnalezienie luki z kategorii SSRF jest zazwyczaj sowicie wynagradzane.

WAF oraz inne usługi cyberbezpieczeństwa, zwiększające odporność firmy na powszechnie występujące zagrożenia, znajdują się w ofercie Netii – jednego z liderów rynku telco i IT.