X
Akamai
+1-8774252624
+1-8774252624
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube
Probar Akamai
¿Está sufriendo un ataque?
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube

¿Qué es la falsificación de solicitudes del lado del servidor?

¿Qué es la falsificación de solicitudes del lado del servidor?

La falsificación de solicitudes del lado del servidor (Server-Side Request Forgery, SSRF) es una vulnerabilidad importante de la que los profesionales de la seguridad de API deben conocer. Al entender el escenario del ataque e implementar estrategias de mitigación adecuadas, las organizaciones pueden proteger sus API y evitar el acceso no autorizado a los recursos de la red corporativa interna y a la información confidencial.

La seguridad de las API es un aspecto fundamental de las aplicaciones web modernas, y mantenerse al día con las vulnerabilidades más recientes es esencial para los profesionales de la seguridad de API. En este artículo, profundizaremos en el séptimo elemento de la lista de las 10 principales vulnerabilidades de API según OWASP: Falsificación de solicitudes del lado del servidor.

Diagram illustrating the process of server-side request forgery (SSRF).

La SSRF se produce cuando una API realiza llamadas a otros servicios, como el almacenamiento de archivos o los recursos externos. Esta vulnerabilidad permite a un atacante manipular las solicitudes de la API y obtener acceso no autorizado a los recursos de red corporativa internos que normalmente están protegidos detrás de un firewall. Estas solicitudes manipuladas a menudo pueden dar lugar a importantes filtraciones de seguridad, incluida la exposición a metadatos confidenciales y otros recursos internos.

Entender el escenario del ataque

Para comprender la falsificación de solicitudes del lado del servidor, consideremos un escenario en el que una red corporativa esté protegida por un firewall. Dentro de esta red, puede haber varios dispositivos, como ordenadores, dispositivos personales y servidores. Sin embargo, un servidor web está conectado tanto a la red corporativa como a Internet, lo que actúa como puente entre ambos.

Explotar la falsificación de solicitudes del lado del servidor

Un atacante puede explotar la SSRF aprovechando el servidor web o un servidor en la nube como punto de giro para eludir el firewall y obtener acceso a los recursos internos de la red corporativa. Este acceso no autorizado puede implicar actividades como lecturas de archivos, análisis de puertos o incluso ejecución remota de código.

Por ejemplo, un atacante podría manipular una solicitud de API diseñada para recuperar avatares de un servidor de archivos con el objetivo de acceder a documentos empresariales o financieros confidenciales almacenados en un directorio diferente. Del mismo modo, en un entorno de nube, un atacante podría acceder a recursos de nube, como credenciales EC2, aprovechando la falsificación de solicitudes en el servidor.

Parámetros y entrada de usuarios en vulnerabilidades de SSRF

Las entradas y los parámetros de usuario desempeñan un papel fundamental a la hora de permitir los ataques de SSRF. A menudo, las vulnerabilidades de SSRF surgen cuando una API acepta entrada de usuario no validada o gestiona incorrectamente los parámetros en las solicitudes HTTP. Los atacantes pueden manipular estos parámetros para enviar solicitudes a destinos no deseados, como recursos internos u otras partes confidenciales de la red corporativa. La validación correcta de la entrada del usuario y el saneamiento de los parámetros pueden reducir significativamente el riesgo de SSRF, lo que evita que los atacantes aprovechen estas debilidades para acceder a los recursos internos.

El riesgo asociado a las API

Aunque se suele considerar que las API son seguras de forma predeterminada, es crucial recordar que, básicamente, son aplicaciones web. Por lo tanto, cualquier vulnerabilidad que afecte a una aplicación web también puede afectar a una API. El hecho de obtener recursos externos a través de API presenta un riesgo significativo, lo que convierte a la SSRF en una preocupación fundamental para los profesionales de la seguridad de API.

Mitigar la SSRF a través de una comunicación back-end segura

Una de las formas más eficaces de mitigar la SSRF es proteger la comunicación entre la API y los servicios back-end. Esto incluye implementar medidas estrictas de control de acceso, garantizar que los recursos internos no estén expuestos a solicitudes no autorizadas y configurar cuidadosamente los ajustes de DNS para evitar que los atacantes resuelvan las direcciones IP internas. Además, el uso de canales cifrados y la garantía de que los terminales de API solo se comuniquen con servicios back-end de confianza pueden reducir en gran medida el riesgo de ataques de SSRF. También es esencial actualizar periódicamente los protocolos de seguridad y garantizar un diseño de API adecuado acorde con las prácticas recomendadas de los 10 principales riesgos de seguridad de API según OWASP.

Mitigar la falsificación de solicitudes del lado del servidor

Para mitigar el riesgo de la SSRF, se pueden implementar varias medidas:

  • Listas de permitidos: implemente listas de permitidos para restringir los recursos que se pueden recuperar a través de las API. Al especificar determinados recursos, las organizaciones pueden cerciorarse de que solo se acceda a los recursos autorizados y seguros.
  • Aislar servidores web: evite colocar servidores web directamente en la red corporativa interna. En su lugar, considere implementarlos en un segmento de red independiente o en la nube para minimizar la posibilidad de ataques de SSRF.
  • Evaluar la necesidad de recursos: evalúe si la búsqueda de recursos externos es realmente necesaria para la funcionalidad de la API. Minimizar la dependencia de recursos externos puede reducir la superficie de ataque y mitigar el riesgo de falsificación de solicitudes en el servidor.
  • Protección de firewall: utilice siempre un firewall en la red corporativa para proporcionar una capa adicional de defensa contra el acceso no autorizado y los posibles ataques de SSRF.
  • Seguir las recomendaciones de diseño de API: manténgase al día con recomendaciones de diseño de API que proporcionan prácticas recomendadas para desarrollar API resistentes a los ataques de SSRF.

Preguntas frecuentes

Entender qué es la falsificación de solicitudes del lado del servidor (SSRF) resulta esencial para la seguridad web, ya que supone un riesgo sustancial para la confidencialidad e integridad de las aplicaciones web y los sistemas en los que dependen.

Al comprender la SSRF y su posible impacto en la seguridad de las aplicaciones web, los desarrolladores y los profesionales de la seguridad pueden implementar medidas de mitigación adecuadas, como aplicar controles de acceso estrictos y restringir los destinos de las solicitudes del lado del servidor. Además, realizar pruebas para detectar una configuración incorrecta de seguridad y las evaluaciones de vulnerabilidades deben incluir comprobaciones de vulnerabilidades de SSRF para identificar y corregir cualquier debilidad antes de que los atacantes puedan explotarlas.

La prevención de los ataques de falsificación de solicitudes del lado del servidor (SSRF) requiere una combinación de medidas técnicas y formación para la concienciación. Entre las estrategias para prevenir los ataques de SSRF se incluyen las siguientes:

  • Validación de entrada y lista de permitidos: implemente una estricta validación de entrada y lista de permitidos de URL y direcciones IP para garantizar que la entrada proporcionada por el usuario solo pueda acceder a los recursos permitidos.
  • Formación sobre concienciación en materia de seguridad: proporcione formación sobre concienciación en materia de seguridad a desarrolladores, administradores y otro personal. Debe educarlos sobre los riesgos asociados a los ataques de SSRF, los vectores de ataque comunes y las prácticas recomendadas para prevenir las vulnerabilidades de SSRF.
  • Auditorías y pruebas de seguridad periódicas: realice pruebas de seguridad y pruebas de penetración periódicas en las aplicaciones web para identificar y corregir las vulnerabilidades de la SSRF.

A continuación, se muestran señales comunes de que un sistema o aplicación se ha visto comprometido por un ataque de SSRF:

  • Solicitudes salientes inusuales: supervise el tráfico de red saliente en busca de patrones inusuales o destinos inesperados. 
  • Acceso a datos confidenciales: detecte cualquier intento de acceso no autorizado a datos o recursos confidenciales dentro de la red interna. 
  • Solicitudes a interfaces administrativas: supervise las solicitudes a interfaces administrativas o terminales de gestión a las que no se puede acceder a través de la aplicación web.
  • Registros y mensajes de error: revise los registros de aplicaciones, los registros del servidor y los mensajes de error para detectar cualquier indicación de ataques de SSRF.
  • Vulnerabilidades de las API: supervise el uso y el rendimiento de API en busca de intentos de acceso no autorizados o solicitudes de API inusuales. Preste atención a cualquier anomalía en los patrones de uso, autorización o autenticación de API que pueda indicar un posible ataque de SSRF dirigido a terminales de API.

Los profesionales de la seguridad pueden utilizar varias herramientas como Burp Suite, OWASP ZAP y SSRFmap para el análisis automatizado de vulnerabilidades de falsificación de solicitudes del lado del servidor. Las herramientas de pruebas manuales, como cURL y Postman, también son eficaces. Las herramientas de pruebas de seguridad de API son valiosas para identificar vulnerabilidades de SSRF.

Por qué los clientes eligen Akamai

Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia contra ciberamenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa integral para proteger los datos y las aplicaciones empresariales en todo el mundo. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, fundamentales para crecer de forma segura.

Entradas de blog relacionadas

El objetivo final de estos ataques es exfiltrar y robar datos confidenciales de los usuarios, como números de tarjetas de crédito y datos personales de facturación.
PCI DSS v4: detección de amenazas de robo de información web con integraciones de pagos
Descubra cómo pueden verse amenazados diversos métodos de integración de pagos por ataques de robo de información web y exfiltración de datos en el lado del cliente.
Más información
Los sistemas de registros sanitarios electrónicos, que en su mayoría cuentan con portales o aplicaciones orientados al paciente para solicitar medicamentos o pagar facturas, son objetivos clínicos y financieros de enorme valor para los hackers.
Tres formas de utilizar Zero Trust para reducir el riesgo de ciberdelincuencia en la atención sanitaria
Cuando las filtraciones de datos se hagan más comunes, los proveedores de atención sanitaria que utilizan un marco Zero Trust para priorizar la seguridad de los datos tendrán una ventaja competitiva.
Más información
API Security was the top choice for Dan Hotels because of its easy integration, advanced analytics capabilities, timeline-based view of the data, and managed threat hunting.
El desafío de proteger las API para una cadena hotelera de lujo
Cuando la cadena hotelera de lujo Dan Hotels se dio cuenta de que sus partners se habían visto comprometidos, su equipo de tecnología recurrió a Akamai API Security para obtener ayuda.
Más información

Descubra todas las soluciones de seguridad de Akamai

Inicie la prueba gratuita y vea la diferencia de contar con la plataforma de distribución en la nube más grande y respetada del mundo.

Consultar