X
Akamai-Lösungen
+1-8774252624
+1-8774252624
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen
Akamai testen
Support bei Angriffen
Anmelden
Control Center
Zugriff auf die Akamai Plattform
Cloud Manager
Verwaltung Ihrer Cloudressourcen

Was ist Server-Side Request Forgery?

Was ist Server-Side Request Forgery?

Server-Side Request Forgery (SSRF) ist eine erhebliche Sicherheitslücke, die API-Sicherheitsexperten kennen müssen. Indem Unternehmen das Angriffsszenario verstehen und geeignete Abwehrstrategien umsetzen, können sie ihre APIs schützen und unbefugten Zugriff auf interne Netzwerkressourcen und vertrauliche Informationen des Unternehmens verhindern.

API-Sicherheit ist ein wichtiger Aspekt moderner Webanwendungen. Für API-Sicherheitsexperten ist es unerlässlich, über die neuesten Schwachstellen immer auf dem Laufenden zu sein. In diesem Artikel befassen wir uns mit dem siebten Punkt auf der Liste OWASP API Top 10: Server-Side Request Forgery.

Diagram illustrating the process of server-side request forgery (SSRF).

SSRF tritt auf, wenn eine API andere Dienste wie Dateispeicher oder externe Ressourcen aufruft. Über diese Sicherheitslücke können Angreifer die Anfragen der API manipulieren und unbefugten Zugriff auf interne Netzwerkressourcen des Unternehmens erhalten, die in der Regel durch eine Firewall geschützt sind. Diese manipulierten Anfragen können oft zu erheblichen Sicherheitsverletzungen führen, einschließlich der Offenlegung vertraulicher Metadaten und anderer interner Ressourcen.

Das Angriffsszenario verstehen

Um Server-Side Request Forgery zu verstehen, betrachten wir ein Szenario, bei dem ein Unternehmensnetzwerk durch eine Firewall geschützt ist. Dieses Netzwerk kann verschiedene Geräte umfassen, darunter Computer, persönliche Geräte und Server. Ein Webserver ist jedoch sowohl mit dem Unternehmensnetzwerk als auch mit dem Internet verbunden und fungiert als Brücke zwischen beiden.

Server-Side Request Forgery ausnutzen

Ein Angreifer kann SSRF ausnutzen, indem er den Webserver oder einen Cloudserver als zentralen Punkt nutzt, um die Firewall zu umgehen und Zugriff auf interne Netzwerkressourcen des Unternehmens zu erhalten. Dieser unbefugte Zugriff kann Aktivitäten wie das Lesen von Dateien, das Scannen von Ports oder sogar Remotecodeausführung umfassen.

Beispielsweise kann eine API-Anfrage, die Avatare von einem Dateiserver abruft, von einem Angreifer manipuliert werden, um auf vertrauliche Geschäfts- oder Finanzdokumente zuzugreifen, die in einem anderen Verzeichnis gespeichert sind. Ebenso kann ein Angreifer in einer Cloudumgebung potenziell auf Cloudressourcen wie EC2-Anmeldedaten zugreifen, indem er Server-Side Request Forgery ausnutzt.

Nutzereingaben und Parameter in SSRF-Schwachstellen

Nutzereingaben und Parameter spielen eine entscheidende Rolle bei der Ermöglichung von SSRF-Angriffen. Häufig treten SSRF-Schwachstellen auf, wenn eine API nicht validierte Nutzereingaben akzeptiert oder Parameter in HTTP-Anfragen falsch verarbeitet. Angreifer können diese Parameter manipulieren, um Anfragen an unbeabsichtigte Ziele zu senden, wie beispielsweise interne Ressourcen oder andere sensible Teile des Unternehmensnetzwerks. Durch eine ordnungsgemäße Validierung von Nutzereingaben und die Bereinigung von Parametern kann das Risiko von SSRF erheblich reduziert und verhindert werden, dass Angreifer diese Schwachstellen ausnutzen, um auf interne Ressourcen zuzugreifen.

Das mit APIs verbundene Risiko

Obwohl APIs standardmäßig oft als sicher angesehen werden, darf nicht vergessen werden, dass es sich im Wesentlichen um Webanwendungen handelt. Daher kann jede Schwachstelle, die eine Webanwendung betrifft, auch Auswirkungen auf eine API haben. Das Abrufen externer Ressourcen über APIs birgt ein erhebliches Risiko, weshalb API-Sicherheitsexperten SSRF erhöhte Aufmerksamkeit schenken sollten.

Abwehr von SSRF durch sichere Backend-Kommunikation

SSRF kann am effektiven abgewehrt werden, wenn die Kommunikation zwischen der API und den Backend-Diensten gesichert wird. Dafür müssen strenge Zugriffskontrollmaßnahmen implementiert und sichergestellt werden, dass interne Ressourcen bei unbefugten Anfragen nicht zugänglich sind. Darüber hinaus sollten DNS-Einstellungen sorgfältig konfiguriert werden, um zu verhindern, dass Angreifer interne IP-Adressen auflösen können. Das Risiko von SSRF-Angriffen kann durch verschlüsselte Kanäle und die Sicherstellung, dass API-Endpunkte nur mit vertrauenswürdigen Backend-Diensten kommunizieren, ebenfalls erheblich reduziert werden. Die regelmäßige Aktualisierung von Sicherheitsprotokollen und die Gewährleistung eines angemessenen API-Designs, das auf die Best Practices der OWASP API Security Top 10 abgestimmt ist, sind ebenfalls von entscheidender Bedeutung.

SSRF abwehren

Um das Risiko von SSRF zu mindern, können mehrere Maßnahmen umgesetzt werden:

  • Zulassungslisten: Implementieren Sie Zulassungslisten, um die Ressourcen einzuschränken, die über APIs abgerufen werden können. Durch die Festlegung bestimmter Ressourcen können Unternehmen sicherstellen, dass nur auf autorisierte und sichere Ressourcen zugegriffen wird.
  • Webserver isolieren: Platzieren Sie Webserver nicht direkt im internen Unternehmensnetzwerk. Erwägen Sie stattdessen, sie in einem separaten Netzwerksegment oder in der Cloud bereitzustellen, um das Potenzial für SSRF-Angriffe zu minimieren.
  • Ressourcenbedarf bewerten: Beurteilen Sie, ob das Abrufen externer Ressourcen für die Funktionalität der API wirklich erforderlich ist. Weniger von externen Ressourcen abhängig zu sein, kann die Angriffsfläche reduzieren und das Risiko von SSRF mindern.
  • Firewall-Schutz: Verwenden Sie im Unternehmensnetzwerk immer eine Firewall, um sich zusätzlich vor unbefugtem Zugriff und potenziellen SSRF-Angriffen zu schützen.
  • Empfehlungen zum API-Design befolgen: Sie sollten immer genau wissen, was in Bezug auf das API-Design aktuell empfohlen wird, um Best Practices bei der Entwicklung von APIs zu berücksichtigen und sie so vor SSRF-Angriffen zu schützen.

Häufig gestellte Fragen

Das Verständnis von SSRF (Server-Side Request Forgery) ist für die Internetsicherheit unerlässlich, da es ein erhebliches Risiko für die Vertraulichkeit und Integrität von Webanwendungen und den Systemen darstellt, auf die sie angewiesen sind.

Durch das Verständnis von SSRF und dessen potenziellen Auswirkungen auf die Sicherheit von Webanwendungen können Entwickler und Sicherheitsexperten geeignete Abwehrmaßnahmen implementieren, wie beispielsweise die Durchsetzung strenger Zugriffskontrollen und die Beschränkung der Ziele serverseitiger Anfragen. Darüber hinaus sollten Tests auf falsch konfigurierte Sicherheit und Schwachstellenbewertungen auch Prüfungen auf SSRF-Schwachstellen umfassen, um diese zu identifizieren und zu beheben, bevor Angreifer sie ausnutzen können.

Um SSRF-Angriffe verhindern zu können, sind sowohl technische Maßnahmen als auch Sensibilisierungsschulungen erforderlich. Strategien zur Verhinderung von SSRF-Angriffen umfassen:

  • Eingabeprüfung und Zulassungslisten: Implementieren Sie eine strenge Eingabeprüfung und eine Whitelist mit URLs und IP-Adressen, um sicherzustellen, dass von Nutzern bereitgestellte Eingaben nur auf zulässige Ressourcen zugreifen können.
  • Schulungen zum Sicherheitsbewusstsein: Bieten Sie Entwicklern, Administratoren und anderen Mitarbeitern Schulungen zum Sicherheitsbewusstsein an. Informieren Sie sie über die Risiken von SSRF-Angriffen, häufige Angriffsvektoren und Best Practices zur Verhinderung von SSRF-Schwachstellen.
  • Regelmäßige Überprüfungen und Tests der Sicherheit: Führen Sie regelmäßige Sicherheitstests und Penetrationstests von Webanwendungen durch, um SSRF-Schwachstellen zu identifizieren und zu beheben.

Im Folgenden finden Sie typische Anzeichen, die darauf hindeuten, dass ein System oder eine Anwendung durch einen SSRF-Angriff kompromittiert wurde:

  • Ungewöhnliche ausgehende Anfragen: Überwachen Sie den ausgehenden Netzwerkverkehr auf ungewöhnliche Muster oder unerwartete Ziele. 
  • Zugriff auf vertrauliche Daten: Erkennen Sie unbefugte Zugriffsversuche auf vertrauliche Daten oder Ressourcen innerhalb des internen Netzwerks. 
  • Anfragen an Verwaltungsschnittstellen: Überwachen Sie Anfragen an Verwaltungsschnittstellen oder -endpunkte, auf die über die Webanwendung nicht zugegriffen werden kann.
  • Protokolle und Fehlermeldungen: Überprüfen Sie Anwendungsprotokolle, Serverprotokolle und Fehlermeldungen auf Anzeichen von SSRF-Angriffen.
  • API-Schwachstellen: Überwachen Sie die API-Performance und -Nutzung auf unbefugte Zugriffsversuche oder ungewöhnliche API-Anfragen. Achten Sie auf Anomalien bei API-Authentifizierung, -Autorisierung oder -Nutzungsmustern, die auf einen potenziellen SSRF-Angriff auf API-Endpunkte hinweisen könnten.

Sicherheitsexperten können mit verschiedenen Tools wie Burp Suite, OWASP ZAP und SSRFmap automatisch nach SSRF-Schwachstellen scannen. Manuelle Testtools wie cURL und Postman sind ebenfalls effektiv. API-Sicherheitstests sind äußerst nützlich, um SSRF-Schwachstellen zu identifizieren.

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Bedrohungsinformationen und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

Verwandte Blogbeiträge

Letztendlich besteht das Ziel dieser Angriffe darin, vertrauliche Nutzerdaten, wie Kreditkartennummern und persönliche Rechnungsdaten, zu extrahieren und zu stehlen.
PCI DSS v4: Web-Skimming-Bedrohungen mit Zahlungsintegrationen erkennen
Erfahren Sie, wie anfällig verschiedene Zahlungsintegrationsmethoden für Web-Skimming-Angriffe und clientseitige Datenextraktion sind.
Mehr erfahren
API Security was the top choice for Dan Hotels because of its easy integration, advanced analytics capabilities, timeline-based view of the data, and managed threat hunting.
Die Herausforderung, APIs für eine Luxuskette zu sichern
Als die Luxushotelkette Dan Hotels erkannte, dass ihre Partner gefährdet waren, setzte ihr Technologie-Team auf Akamai API Security.
Mehr erfahren
Mit API Security können Unternehmen ihre APIs erkunden, deren Aktivitäten mithilfe von Verhaltensanalysen überwachen und automatisierte Antworten konfigurieren.
Schützen Sie jede API überall mit API Security
Akamai API Security bietet unternehmensweite Transparenz, stellt Verhaltensanalysen von API-Aktivitäten bereit und verhindert Angriffe und Missbrauch.
Mehr erfahren

Entdecken Sie alle Akamai Security Solutions

Starten Sie Ihre kostenlose Testversion, und erleben Sie selbst die Vorteile der weltweit größten und renommiertesten Plattform für die Cloudbereitstellung.

Mehr erfahren