X
I servizi Akamai
+1-8774252624
+1-8774252624
Accesso
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud
Prova Akamai
Siete sotto attacco?
Accesso
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud

Che cos'è l'SSRF ?

Che cos'è l'SSRF (Server-Side Request Forgery)?

L'SSRF è una vulnerabilità significativa di cui gli addetti alla sicurezza delle API devono essere a conoscenza. Comprendendo lo scenario degli attacchi e implementando strategie di mitigazione appropriate, le organizzazioni possono proteggere le loro API e impedire l'accesso non autorizzato alle risorse interne della rete aziendale e alle informazioni sensibili.

La sicurezza delle API è un aspetto critico delle moderne applicazioni web e per gli addetti alla sicurezza delle API è essenziale tenersi aggiornati con le ultime vulnerabilità. In questo articolo, esamineremo il settimo punto riportato nell'elenco OWASP con le 10 principali vulnerabilità per la sicurezza delle API: l'SSRF (Server-Side Request Forgery).

Diagram illustrating the process of server-side request forgery (SSRF).

L'SSRF si verifica quando un'API effettua chiamate ad altri servizi, tra cui dispositivi di storage di file o risorse esterne. Questa vulnerabilità consente a un criminale di manipolare le richieste dell'API e di ottenere un accesso non autorizzato alle risorse di rete aziendali interne, generalmente protette da un firewall. Queste richieste manipolate possono spesso portare a gravi violazioni della sicurezza, inclusa l'esposizione di metadati sensibili e altre risorse interne.

Descrizione dello scenario di attacco

Per comprendere l'SSRF (Server-Side Request Forgery), consideriamo un caso in cui una rete aziendale è protetta da un firewall. All'interno di questa rete possono essere presenti vari dispositivi, tra cui computer, dispositivi personali e server. Tuttavia, un server web è connesso sia alla rete aziendale che a Internet, fungendo da ponte tra questi due componenti.

Sfruttamento dell'SSRF 

Un criminale può sfruttare l'SSRF utilizzando il server web o un server sul cloud per bypassare il firewall e ottenere l'accesso alle risorse di rete aziendali interne. Questo accesso non autorizzato può richiedere alcune operazioni, come la lettura dei file, la scansione delle porte o persino l'esecuzione remota del codice.

Ad esempio, una richiesta di API concepita per recuperare gli avatar da un file server potrebbe essere manipolata da un criminale per accedere a documenti aziendali o finanziari sensibili, che sono archiviati in un'altra directory. Analogamente, in un ambiente cloud, un criminale potrebbe accedere alle risorse cloud, come le credenziali EC2, sfruttando l'SSRF.

Input e parametri degli utenti nelle vulnerabilità SSRF

L'input e i parametri degli utenti svolgono un ruolo fondamentale negli attacchi SSRF. Spesso, le vulnerabilità SSRF nascono quando un'API accetta input di utenti non convalidati o gestisce in modo improprio i parametri nelle richieste HTTP. I criminali possono manipolare questi parametri per inviare richieste a destinazioni non intenzionali, come risorse interne o altre parti sensibili della rete aziendale. La corretta convalida dell'input dell'utente e l'integrità dei parametri possono ridurre significativamente il rischio di SSRF, impedendo ai criminali di sfruttare questi punti deboli per accedere alle risorse interne.

Il rischio associato alle API

Sebbene le API siano spesso considerate automaticamente sicure, è fondamentale ricordare che si tratta essenzialmente di applicazioni web. Pertanto, qualsiasi vulnerabilità che interessa un'applicazione web può avere un impatto anche su un'API. L'atto di recuperare le risorse esterne tramite le API comporta un rischio significativo, il che rende l'SSRF una preoccupazione fondamentale per gli addetti alla sicurezza delle API.

Riduzione dell'SSRF tramite una comunicazione back-end sicura

Uno dei modi più efficaci per mitigare l'SSRF è proteggere la comunicazione tra l'API e i servizi back-end. Ciò include l'implementazione di rigorose misure di controllo degli accessi, garantendo che le risorse interne non siano esposte a richieste non autorizzate e configurando accuratamente le impostazioni del DNS per impedire ai criminali di risolvere gli indirizzi IP interni. Inoltre, utilizzare canali crittografati e far comunicare gli endpoint API solo con servizi back-end affidabili possono ridurre notevolmente il rischio di attacchi SSRF. È inoltre essenziale aggiornare regolarmente i protocolli di sicurezza e garantire la corretta progettazione delle API in linea con le best practice necessarie per evitare le 10 principali vulnerabilità della sicurezza delle API riportate nell'elenco OWASP.

Mitigazione dell'SSRF 

Per ridurre il rischio di SSRF, è possibile implementare diverse misure:

  • Elenchi di elementi consentiti: implementate questo tipo di elenchi per limitare le risorse che possono essere recuperate tramite le API. Specificando determinate risorse, le organizzazioni possono garantire l'accesso solo alle risorse autorizzate e sicure.
  • Isolare i server web: evitate di posizionare i server web direttamente sulla rete aziendale interna. Al contrario, valutate la possibilità di implementarle in un segmento di rete separato o nel cloud per ridurre al minimo il rischio di attacchi SSRF.
  • Valutare la necessità di risorse: verificate se il recupero delle risorse esterne è realmente necessario per la funzionalità dell'API. Minimizzare la dipendenza dalle risorse esterne può ridurre la superficie di attacco e mitigare il rischio di falsificazione di attacchi SSRF.
  • Protezione dei firewall: utilizzate sempre un firewall sulla rete aziendale per fornire un ulteriore livello di difesa contro accessi non autorizzati e potenziali attacchi SSRF.
  • Seguire i consigli sulla progettazione delle API: tenetevi aggiornati sui consigli sulla progettazione delle API che forniscono best practice per lo sviluppo di API resilienti agli attacchi SSRF.

Domande frequenti

Comprendere l'SSRF è essenziale per la sicurezza web in quanto rappresenta un rischio sostanziale per la riservatezza e l'integrità delle applicazioni web e dei sistemi su cui si basano.

Conoscendo l'SSRF e il suo potenziale impatto sulla sicurezza delle applicazioni web, sviluppatori e addetti alla sicurezza possono implementare appropriate misure di mitigazione, come l'applicazione di rigorosi controlli degli accessi e la limitazione delle destinazioni delle richieste lato server. Inoltre, l'esecuzione di test per verificare la presenza di vulnerabilità ed errori di configurazione del sistema di sicurezza deve includere controlli per le vulnerabilità SSRF nell'intento di identificare e correggere eventuali punti deboli prima che i criminali possano sfruttarli.

La prevenzione degli attacchi SSRF (Server-Side Request Forgery) richiede una combinazione di misure tecniche e formazione sulla consapevolezza. Le strategie per la prevenzione degli attacchi SSRF includono:

  • Convalida dell'input ed elenchi di elementi consentiti: implementate una convalida dell'input rigorosa e gli elenchi di elementi consentiti per URL e indirizzi IP allo scopo di garantire che con l'input fornito dall'utente sia possibile accedere solo alle risorse consentite.
  • Formazione sulla consapevolezza della sicurezza: fornite corsi di formazione sulla consapevolezza della sicurezza a sviluppatori, amministratori e altri dipendenti per informarli sui rischi associati agli attacchi SSRF, sui vettori di attacco comuni e sulle best practice da seguire per prevenire le vulnerabilità SSRF.
  • Controlli e test sulla sicurezza regolari: eseguite regolarmente test sulla sicurezza e test di penetrazione delle applicazioni web per identificare e correggere le vulnerabilità SSRF.

Di seguito sono riportati i comuni segnali che indicano che un sistema o un'applicazione è stato compromesso da un attacco SSRF:

  • Insolite richieste del traffico in uscita: monitorate il traffico di rete in uscita per individuare schemi insoliti o destinazioni impreviste. 
  • Accesso ai dati sensibili: rilevate eventuali tentativi di accesso non autorizzati a dati o risorse sensibili presenti nella rete interna. 
  • Richieste alle interfacce amministrative: monitorate le richieste alle interfacce amministrative o agli endpoint di gestione a cui non è possibile accedere tramite l'applicazione web.
  • Registri e messaggi di errore: esaminate i registri delle applicazioni, i registri del server e i messaggi di errore per eventuali indicazioni di attacchi SSRF.
  • Vulnerabilità delle API: monitorate le performance e l'utilizzo delle API per individuare tentativi di accesso non autorizzati o insolite richieste di API. Verificate la presenza di eventuali anomalie nell'autenticazione, nell'autorizzazione o negli schemi di utilizzo delle API che potrebbero indicare un potenziale attacco SSRF che ha preso di mira gli endpoint delle API.

Gli addetti alla sicurezza possono utilizzare vari strumenti come Burp Suite, OWASP ZAP e SSRFmap per eseguire la scansione automatizzata delle vulnerabilità SSRF (Server-Side Request Forgery), ma risultano efficaci anche strumenti di test manuali come cURL e Postman. Gli strumenti di test sulla sicurezza delle API sono utili per identificare le vulnerabilità SSRF.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi.

Post del blog correlati

L'obiettivo finale di questi attacchi è quello di esfiltrare e rubare i dati sensibili degli utenti, come numeri di carte di credito e dati di fatturazione personali.
PCI DSS v4: Individuazione delle minacce di web skimming con le integrazioni di pagamento
Scoprite come vari metodi di integrazione di pagamento possono essere minacciati da attacchi di web skimming ed esfiltrazione di dati sul lato client.
Maggiori dettagli
API Security was the top choice for Dan Hotels because of its easy integration, advanced analytics capabilities, timeline-based view of the data, and managed threat hunting.
La sfida della protezione delle API per una catena di hotel di lusso
Quando la catena di hotel di lusso Dan Hotels si è resa conto che i sistemi dei suoi partner erano stati violati, il suo team tecnologico si è rivolto ad Akamai API Security per un aiuto.
Maggiori dettagli
Con API Security, le organizzazioni possono identificare le loro API, monitorare la loro attività con l'analisi comportamentale e configurare risposte automatiche.
Protezione delle API ovunque con API Security
Akamai API Security offre visibilità a livello aziendale, analisi comportamentale delle attività delle API e prevenzione da attacchi e violazioni.
Maggiori dettagli

Scoprite tutte le soluzioni per la sicurezza di Akamai

Iniziate la prova gratuita e scoprite quale differenza può fare la piattaforma cloud di delivery più estesa e affidabile al mondo.

Vai avanti