SSRF là gì? Phát hiện và ngăn chặn tấn công yêu cầu giả mạo từ phía máy chủ

SSRF là gì? Phát hiện và ngăn chặn tấn công yêu cầu giả mạo từ phía máy chủ

Vakaxa tiếp tục mời bạn theo dõi bài viết SSRF là gì? Phát hiện và giảm thiểu tấn công yêu cầu giả mạo từ phía máy chủ (SSRF). Các ứng dụng web có thể kích hoạt các yêu cầu liên máy chủ, thường được sử dụng để tìm nạp các tài nguyên từ xa như cập nhật phần mềm hoặc nhập dữ liệu từ URL hoặc các ứng dụng web khác. Mặc dù các yêu cầu liên máy chủ đó thường an toàn, trừ khi được triển khai chính xác, chúng có thể khiến máy chủ dễ bị tấn công yêu cầu giả mạo từ phía máy chủ. ➤ Có thể bạn quan tâm:  CSRF là gì? Tìm hiểu kỹ thuật tấn công CSRF, Cách phòng chống tấn công giả mạo SSRF là gì? SSRF (Server Side Request Forgery) hay còn gọi là tấn công yêu cầu giả mạo từ phía máy chủ cho phép kẻ tấn công thay đổi tham số được sử dụng trên ứng dụng web để tạo hoặc kiểm soát các yêu cầu từ máy chủ dễ bị tấn công. Khi thông tin trong một ứng dụng web phải được lấy từ một tài nguyên bên ngoài, chẳng hạn như nguồn cấp dữ liệu RSS từ một trang web khác, các yêu cầu phía máy chủ được sử dụng để tìm nạp tài nguyên và đưa nó vào ứng dụng web. Ví dụ, một nhà phát triển có thể sử dụng một URL như https://example.com/feed.php?url=externalsite.com/feed/để lấy nguồn cấp dữ liệu từ xa. Nếu kẻ tấn công có thể thay đổi tham số url thành localhost, thì anh ta có...

Pin It on Pinterest