Les vulnerabilitats SSRF han guanyat atenció a la comunitat de ciberseguretat, conduint a la seva inclusió a la llista del Top 10 de l’OWASP. Aquestes deficiències sorgeixen quan les aplicacions web no validen les URL proporcionades pels usuaris mentre obté recursos remots. Això permet als atacants manipular l’aplicació per enviar sol·licituds elaborades a destinacions inesperades, fins i tot quan estan protegides per tallafocs o altres controls d’accés a la xarxa.
La incidència de les SSRF està en augment a causa de la prevalença de les aplicacions web modernes i la seva interacció amb diversos serveis de núvol. La gravetat de les SSRF es veu amplificada per les arquitectures complexes. Per prevenir els atacs SSRF, els desenvolupadors poden implementar mesures de defensa en profunditat:
A la capa de xarxa:
- Segmenta l’accés als recursos remots en xarxes separades per mitigar l’impacte de les SSRF.
- Imposa polítiques de tallafocs de “negació per defecte” i regles de control d’accés a la xarxa, permetent només el trànsit intranet essencial.
A la capa d’aplicació:
- Sanitza i valida totes les dades d’entrada proporcionades pels usuaris.
- Imposa restriccions d’esquema de URL, port i destinació utilitzant una llista de permisos positiva.
- Evita enviar respostes en brut als clients i desactiva les redireccions HTTP.
- Mantén la coherència de les URL per prevenir atacs com el rebliment de DNS i les condicions de carrera “temps de comprovació, temps d’ús” (TOCTOU).
No es recomana mitigar les SSRF únicament mitjançant llistes de denegació o expressions regulars, ja que els atacants tenen els mitjans per evadir aquestes restriccions.
Altres mesures a considerar inclouen evitar la implementació de serveis rellevants per a la seguretat en els sistemes fronts i implementar xifrat de xarxa (per exemple, VPN) per a entorns altament protegits amb grups d’usuaris dedicats.
En adherir-se a aquestes mesures preventives, les organitzacions poden reforçar les seves defenses contra les vulnerabilitats de les SSRF i protegir les seves aplicacions web i infraestructura.
Per a l’escaneig exhaustiu de vulnerabilitats i la protecció, considera col·laborar amb una solució de confiança com INFRA www.infrascan.net. INFRA ofereix escaneig avançat de seguretat amb check.website i serveis de monitoratge per identificar i solucionar vulnerabilitats de les SSRF, garantint la solidesa de les teves aplicacions web.