SSRF (Server Side Request Forgery): co to jest? | Biznes Netia
Menu główne

SSRF, czyli Server Side Request Forgery – jak zagraża firmom?

28 marca 2025, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

SSRF (ang.: Server Side Request Forgery) to bardzo niebezpieczna podatność aplikacji internetowych, która została nawet sklasyfikowana w zestawieniu najważniejszych cyberzagrożeń OWASP Top 10 (lista najpoważniejszych zagrożeń bezpieczeństwa aplikacji webowych, opracowywana przez Open Web Application Security Project). Na czym polega i jakie może mieć konsekwencje? Czy istnieją skuteczne sposoby obrony przed tego rodzaju atakami?

Dowiedz się więcej!
lub zadzwoń
+ 48 22 35 81 550
 
 
 

Na czym polega Server Side Request Forgery?

 

Atak SSRF zagraża aplikacjom, które korzystają z zewnętrznych zasobów w postaci plików, interfejsów API czy całych baz danych, udostępniając użytkownikom możliwość wskazywania adresów URL. Może to być m.in. popularna funkcja wgrywania na serwer aplikacji zdjęć znajdujących się w innej witrynie poprzez wklejenie odnośnika.

 

Zagrożenie polega na manipulowaniu danymi wejściowymi w taki sposób, by wskazywały na określone zasoby zewnętrzne lub wewnętrzne, a serwer zwrócił informacje nieprzeznaczone dla użytkowników.W krytycznych przypadkach, jeśli aplikacja nie jest zabezpieczona przed takimi żądaniami, wykorzystanie odpowiednich URL-i wskazujących adresy lokalnych baz danych może pozwolić na uzyskanie poufnych informacji znajdujących się na serwerze aplikacji. Uzyskane w ten sposób dane mogą być z kolei wykorzystane do przeprowadzenia kolejnych ataków. SSRF daje atakującym bardzo szerokie możliwości i może być przeprowadzony na wiele różnych sposobów.

 

Należy jednak odróżnić atak SSRF od takich technik, jak enumeracja zasobów, która polega na systematycznym sprawdzaniu różnych adresów URL w celu odnalezienia niepublicznych zasobów. W przypadku SSRF kluczowe jest wykorzystanie serwera jako pośrednika do uzyskania dostępu do wewnętrznych systemów, podczas gdy enumeracja bazuje na metodzie prób i błędów przy odkrywaniu istniejących adresów.

 

Rodzaje SSRF

 

Server Side Request Forgery nie jest nowością w świecie cyberzagrożeń. Tego rodzaju podatności znane są od czasów pierwszych aplikacji webowych, ale w świecie coraz powszechniej wykorzystywanej chmury, mikrousług oraz integracji z zewnętrznymi interfejsami API SSRF, staną się coraz bardziej uciążliwym zagrożeniem. Możemy wyróżnić trzy główne typy Server Side Request Forgery:

 
  • Podstawowy atak SSRF – polega na wykorzystaniu podatności aplikacji i wysyłaniu żądań HTTP w celu pozyskania danych zlokalizowanych w wewnętrznych bazach i serwerach niedostępnych dla legalnych użytkowników.

  • Ślepy atak SSRF (ang.: Blind SSRF – wykorzystuje żądania HTTP do uzyskania informacji nawet w sytuacji, gdy aplikacja nie wraca do atakującego z konkretnymi danymi. Wykorzystując spreparowane dane wejściowe, haker może obserwować zmiany w aplikacji, takie jak inny czas odpowiedzi czy kody błędów, i w ten sposób np. wydedukować, czy pod danym adresem istnieje baza danych.

  • Skanowanie portów za pomocą SSRF – podatność aplikacji może zostać wykorzystana do mapowania systemu i poszukiwania luk w zabezpieczeniach. Wystarczy, że atakujący będzie kierował żądania HTTP do różnych portów. Analiza odpowiedzi aplikacji pozwoli poznać otwarte porty oraz działające na nich usługi.
 

W zależności od zastosowanej metody, atakujący może zebrać różne informacje. Niektóre z typów ataków są też łatwiejsze do wykrycia od innych.

 

Jak wykryć SSRF w firmie?

 

Wykrywanie ataków SSRF kierowanych na firmowe aplikacje jest trudne, ponieważ żądania wyglądają często na legalne zapytania HTTP i nie wzbudzają alertów bezpieczeństwa. Widoczność tego rodzaju zagrożeń daje jednak monitorowanie ruchu przychodzącego i wychodzącego oraz analiza logów w poszukiwaniu anomalii. Czujność powinny wzbudzić żądania kierowane do nietypowych adresów i lokalizacji wewnętrznych, wykorzystanie protokołów file:// oraz ftp://, czy gwałtowny wzrost ruchu wychodzącego, który może wskazywać na skanowanie portów.

 

Jak zabezpieczyć firmę przed atakami SSRF?

 

Oczywistym jest, że ataki SSRF mogą sprawić firmie wiele kłopotów: od paraliżu procesów w wyniku przytłaczającą liczbą żądań, uniemożliwiającą obsługę legalnych zapytań, po kradzież wrażliwych danych i wszystkie tego konsekwencje. Takie sytuacje narażają dobrą opinię firmy oraz mogą wiązać się z karami za brak zgodności z obowiązującymi przepisami.

 

Naturalną potrzebą jest więc ochrona aplikacji przed tego rodzaju atakami i unikanie groźnych podatności. W tym celu aplikacje, umożliwiające wprowadzanie danych wejściowych, powinny korzystać z rygorystycznej walidacji i filtrowania. Dzięki zastosowaniu tych mechanizmów aplikacja może sprawdzić, czy podany URL jest zgodny z ustaloną polityką bezpieczeństwa i nie wskazuje na wewnętrzne zasoby. Dobrą praktyką jest izolacja aplikacji w kontenerach lub stosowanie innych mechanizmów ograniczających dostęp aplikacji do zasobów wewnętrznych.

 

Jednym z podstawowych sposobów ochrony aplikacji przed popularnymi zagrożeniami, w tym SSRF, XSS czy SQLi, jest stosowanie rozwiązań WAF – Web Application Firewall. Specjalnie opracowany rodzaj zapory sieciowej filtruje ruch przychodzący i wychodzący z aplikacji, blokując podejrzane żądania, i uniemożliwia uzyskanie dostępu do krytycznych zasobów.

 

Kluczową rolę w wykrywaniu podatności na ataki SSRF odgrywają webowe skany podatności aplikacji oraz testy penetracyjne (w ramach profesjonalnych usług IT security. Regularne testowanie aplikacji pozwala na wczesne wykrycie i eliminację zagrożeń, zanim zostaną one wykorzystane przez cyberprzestępców.

 

Wiele firm pozwala ponadto wykazać się swoim użytkownikom, zachęcając ich nagrodami do wyszukiwania podatności w ramach programów Bug Bounty. Odnalezienie luki z kategorii SSRF jest zazwyczaj sowicie wynagradzane.

 

WAF oraz inne usługi cyberbezpieczeństwa, zwiększające odporność firmy na powszechnie występujące zagrożenia, znajdują się w ofercie Netii – jednego z liderów rynku telco i IT.

 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×