Api Security Owasp-7:2023
Sunucu tarafı istek sahteciliği-Server Side Request Forgery (SSRF)
SSRF bir saldırganın sunucu tarafı uygulamasının istenmeyen bir hedefe istekte bulunmasına neden olmasına olanak tanıyan bir web güvenlik açığıdır.
Uygulama, bir URL’den veri içe aktarma, verileri bir URL’de yayınlama veya başka bir şekilde URL’den veri okuma işlevine sahip olabilir. Saldırgan, tamamen farklı bir URL sağlayarak yapılan çağrıları değiştirir. Değiştirilen istek sunucuya gittiğinde, sunucu tarafı kodu değiştirilen URL’yi alır ve değiştirilen URL’ye veri okumaya çalışır. Saldırgan, hedef URL’leri seçerek internette doğrudan gösterilmeyen hizmetlerden gelen verileri okuyabilir.
Uygulama geliştirmedeki modern kavramlar, geliştiricilerin istemci tarafından sağlanan URI’lere erişmesini teşvik eder. Bu tür URI’lerin eksikliği veya uygunsuz şekilde doğrulanması yaygın sorunlardır. Sorunun tespit edilmesi için düzenli API istekleri ve yanıt analizi gerekecektir.
Modern uygulamaların entegre doğası nedeniyle uygulamanızdan giden trafiği sınırlamak da daha zordur. SSRF riski her zaman tamamen ortadan kaldırılamaz. Koruma mekanizması seçerken ihtiyaç ve riskleri dikkate almak önemlidir.
Nasıl Önlenir?
Kullanıcı girdisi olarak kullanılan URL veya IP adreslerini sterilize edin. Girdi doğrulama kütüphaneleri kullanın.
Uygulamanızı en son güvenlik yamaları ve güncellemeleri ile güncel tutarak bilinen açıklardan koruyun.
Whitelist oluşturarak , yalnızca yetkili URL’lere veya IP adreslerine erişime izin verin. DNS çözümlemesi kullanın.
Kabul edilen medya türlerini sınırlayın.
HTTP yönlendirmelerini devre dışı bırakın.
API cevaplarınızda ham yanıtlar göndermeyin.
OWASP-10 açıklarını , api istek ve yanıtlarını sürekli analiz ederek tespit edebilen bir API Security ürünü kullanın.
Güvenli kodlar.
Kaynak;
