X
Akamai
+1-8774252624
+1-8774252624
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud
Essayer Akamai
Victime d'une attaque ?
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud

Qu'est-ce que la falsification de requête côté serveur ?

Qu'est-ce que la falsification de requête côté serveur ?

La falsification de requête côté serveur (Server-Side Request Forgery, SSRF) est une vulnérabilité importante que les professionnels de la sécurité des API doivent connaître. En comprenant le scénario d'attaque et en mettant en œuvre des stratégies d'atténuation appropriées, les entreprises peuvent protéger leurs API et empêcher tout accès non autorisé aux ressources du réseau interne de l'entreprise et aux informations sensibles.

La sécurité des API est un aspect essentiel des applications Web actuelles, et il est essentiel pour les professionnels de la sécurité des API de se tenir informés des dernières vulnérabilités. Dans cet article, nous allons nous pencher sur le septième élément de la liste des dix principaux risques pour la sécurité des API identifiés par l'OWASP : la Falsification de requête côté serveur.

Diagram illustrating the process of server-side request forgery (SSRF).

La SSRF se produit lorsqu'une API appelle d'autres services, tels que le stockage de fichiers ou des ressources externes. Cette vulnérabilité permet à un pirate de manipuler les requêtes de l'API et d'obtenir un accès non autorisé aux ressources du réseau interne de l'entreprise qui sont généralement protégées derrière un pare-feu. Ces demandes manipulées peuvent souvent entraîner des failles de sécurité importantes, notamment l'exposition aux métadonnées sensibles et à d'autres ressources internes.

Comprendre le scénario d'attaque

Pour comprendre la falsification des requêtes côté serveur, prenons l'exemple d'un scénario dans lequel un réseau d'entreprise est protégé par un pare-feu. Ce réseau peut comporter différents terminaux, notamment des ordinateurs, des terminaux personnels et des serveurs. Cependant, un serveur Web est connecté à la fois au réseau de l'entreprise et à Internet, ce qui fait office de pont entre les deux.

Exploiter la falsification de requête côté serveur

Un attaquant peut exploiter la SSRF en utilisant le serveur Web ou un serveur cloud comme point pivot pour contourner le pare-feu et accéder aux ressources du réseau interne de l'entreprise. Cet accès non autorisé peut impliquer des activités telles que la lecture de fichiers, l'analyse de ports ou même l'exécution de code à distance.

Par exemple, une demande d'API conçue pour récupérer des avatars à partir d'un serveur de fichiers peut être manipulée par un pirate pour accéder à des documents commerciaux ou financiers sensibles stockés dans un autre répertoire. De même, dans un environnement cloud, un pirate pourrait accéder aux ressources cloud, telles que les informations d'identification EC2, en exploitant la falsification de requêtes côté serveur.

Saisie utilisateur et paramètres dans les vulnérabilités SSRF

Les paramètres et les entrées utilisateur jouent un rôle essentiel dans l'activation des attaques SSRF. Souvent, des vulnérabilités SSRF surviennent lorsqu'une API accepte les entrées utilisateur non validées ou gère de manière incorrecte les paramètres dans les requêtes HTTP. Les pirates peuvent manipuler ces paramètres pour envoyer des requêtes vers des destinations non intentionnelles, telles que des ressources internes ou d'autres parties sensibles du réseau de l'entreprise. La validation correcte des entrées utilisateur et l'assainissement des paramètres peuvent réduire considérablement le risque de SSRF, empêchant les pirates d'exploiter ces faiblesses pour accéder aux ressources internes.

Risque associé aux API

Bien que les API soient souvent considérées comme sécurisées par défaut, il est essentiel de se rappeler qu'il s'agit essentiellement d'applications Web. Par conséquent, toute vulnérabilité affectant une application Web peut également avoir un impact sur une API. L'extraction de ressources externes par le biais d'API présente un risque important, ce qui fait des SSRF une préoccupation essentielle pour les professionnels de la sécurité des API.

Atténuation de la SSRF grâce à une communication back-end sécurisée

L'un des moyens les plus efficaces d'atténuer la SSRF est de sécuriser la communication entre l'API et les services back-end. Cela inclut la mise en œuvre de mesures de contrôle d'accès strictes, la vérification que les ressources internes ne sont pas exposées à des requêtes non autorisées et la configuration minutieuse des paramètres DNS pour empêcher les pirates de résoudre les adresses IP internes. En outre, l'utilisation de canaux chiffrés et la garantie que les points de terminaison API communiquent uniquement avec des services back-end fiables peuvent considérablement réduire le risque d'attaques par SSRF. Il est également essentiel de mettre à jour régulièrement les protocoles de sécurité et de s'assurer que la conception des API est conforme aux 10 meilleures pratiques en matière de sécurité des API selon l'OWASP.

Atténuation des falsifications de requêtes côté serveur

Pour atténuer le risque de SSRF, plusieurs mesures peuvent être mises en œuvre :

  • Listes d'autorisation : mettez en œuvre des listes d'autorisation pour limiter les ressources qui peuvent être extraites via les API. En spécifiant certaines ressources, les entreprises peuvent s'assurer que seules les ressources autorisées et sécurisées sont accessibles.
  • Serveurs Web isolés : évitez de placer des serveurs Web directement sur le réseau interne de l'entreprise. Envisagez plutôt de les déployer dans un segment de réseau distinct ou sur le cloud pour minimiser le risque d'attaques par SSRF.
  • Évaluer la nécessité des ressources : déterminez si l'extraction des ressources externes est réellement nécessaire pour la fonctionnalité de l'API. La réduction de la dépendance vis-à-vis des ressources externes peut réduire la surface d'attaque et limiter le risque de falsification de requêtes côté serveur.
  • Protection par pare-feu : utilisez toujours un pare-feu sur le réseau de l'entreprise pour fournir une couche de protection supplémentaire contre les accès non autorisés et les attaques par SSRF potentielles.
  • Suivez les recommandations de conception de l'API : restez informé grâce à des recommandations de conception d'API qui fournissent les meilleures pratiques pour développer des API résilientes contre les attaques par SSRF.

Foire aux questions

Il est essentiel de bien comprendre la falsification de requête côté serveur (SSRF), car elle présente un risque important pour la confidentialité et l'intégrité des applications Web et des systèmes sur lesquels elles reposent.

En comprenant la SSRF et son impact potentiel sur la sécurité des applications Web, les développeurs et les professionnels de la sécurité peuvent mettre en œuvre des mesures d'atténuation appropriées, telles que l'application de contrôles d'accès stricts et la restriction des destinations des demandes côté serveur. En outre, les tests de mauvaise configuration de la sécurité et d'évaluation des vulnérabilités doivent inclure des contrôles des vulnérabilités de type SSRF afin d'identifier et de corriger les faiblesses avant que les pirates ne puissent les exploiter.

La prévention des attaques par SSRF (Server-side Request Forgery) nécessite une combinaison de mesures techniques et de formation de sensibilisation. Les stratégies de prévention des attaques par SSRF comprennent les suivantes :

  • Validation de l'entrée et liste d'autorisation : mettez en œuvre une validation d'entrée stricte ainsi qu'une liste d’autorisation des URL et des adresses IP pour vous assurer que les entrées fournies par l'utilisateur ne peuvent accéder qu'aux ressources autorisées.
  • Formations de sensibilisation à la sécurité : fournissez une formation de sensibilisation à la sécurité aux développeurs, aux administrateurs et aux autres membres du personnel. Informez-les des risques associés aux attaques par SSRF, des vecteurs d'attaque courants et des meilleures pratiques pour prévenir les vulnérabilités de type SSRF.
  • Audits et tests de sécurité réguliers : effectuez régulièrement des tests de sécurité et des tests de pénétration des applications Web pour identifier et corriger les vulnérabilités de type SSRF.

Voici les signes courants indiquant qu'un système ou une application a été compromis par une attaque par SSRF :

  • Demandes sortantes inhabituelles : surveillez le trafic réseau sortant à la recherche de schémas inhabituels ou de destinations inattendues. 
  • Accès aux données sensibles : détectez toute tentative d'accès non autorisé à des données ou ressources sensibles au sein du réseau interne. 
  • Demandes aux interfaces administratives : surveillez les demandes aux interfaces d'administration ou aux points de terminaison de gestion qui ne sont pas accessibles via l'application Web.
  • Journaux et messages d'erreur : examinez les journaux d'application, les journaux du serveur et les messages d'erreur pour détecter toute indication d'attaques par SSRF.
  • Vulnérabilités des API : surveillez les performances et l'utilisation des API pour détecter les tentatives d'accès non autorisées ou les demandes d'API inhabituelles. Soyez attentif à toute anomalie dans les modèles d'authentification, d'autorisation ou d'utilisation des API pouvant indiquer une attaque par SSRF potentielle ciblant les points de terminaison des API.

Les professionnels de la sécurité peuvent utiliser divers outils tels que Burp Suite, OWASP ZAP et SSRFmap pour l'analyse automatisée des falsification de requête côté serveur. Les outils de test manuels tels que cURL et Postman sont également efficaces. Les outils de test de sécurité des API sont précieux pour identifier les vulnérabilités par SSRF.

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.

Articles de blog associés

Le but ultime de ces attaques est d'exfiltrer et de voler les données sensibles des utilisateurs, telles que les numéros de carte de crédit et les détails de facturation personnels.
PCI DSS v4 : Détection des menaces de skimming Web avec les intégrations de paiement
Découvrez comment différentes méthodes d'intégration de paiement peuvent être menacées par des attaques de skimming Web et l'exfiltration de données du côté client.
En savoir plus
API Security was the top choice for Dan Hotels because of its easy integration, advanced analytics capabilities, timeline-based view of the data, and managed threat hunting.
Une chaîne hôtelière de luxe face au défi de la sécurisation des API
Lorsque la chaîne hôtelière de luxe Dan Hotels a constaté que ses partenaires étaient compromis, son équipe technologique s'est tournée vers la solution API Security d'Akamai pour obtenir de l'aide.
En savoir plus
Avec API Security, les organisations peuvent découvrir leurs API, surveiller leur activité avec des analyses comportementales et configurer des réponses automatisées.
Protégez chaque API où que vous soyez avec API Security
API Security d'Akamai offre une visibilité à l'échelle de l'entreprise, fournit une analyse comportementale de l'activité des API et prévient les attaques et les abus.
En savoir plus

Découvrez toutes les solutions de sécurité d'Akamai

Commencez votre essai gratuit et découvrez vous-même les bénéfices de la plateforme de diffusion cloud la plus étendue et fiable au monde.

Découvrir