X
Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

O que é falsificação de solicitação do lado do servidor?

O que é falsificação de solicitação do lado do servidor?

A falsificação de solicitação do lado do servidor (Server-Side Request Forgery, SSRF) é uma vulnerabilidade significativa que os profissionais de segurança de API devem estar cientes. Ao compreender o cenário de ataque e implementar estratégias de mitigação adequadas, as organizações podem proteger suas APIs e impedir o acesso não autorizado a recursos da rede corporativa interna e informações confidenciais.

A segurança de API é um aspecto crítico das aplicações web modernas, e manter-se atualizado com as vulnerabilidades mais recentes é essencial para os profissionais de segurança de API. Neste artigo, vamos nos aprofundar no sétimo item da lista do Top 10 do OWASP API Falsificação de solicitação do lado do servidor..

Diagram illustrating the process of server-side request forgery (SSRF).

O SSRF ocorre quando uma API faz chamadas para outros serviços, como armazenamento de arquivos ou recursos externos. Essa vulnerabilidade permite que um invasor manipule as solicitações da API e obtenha acesso não autorizado a recursos internos da rede corporativa que normalmente são protegidos por um firewall. Essas solicitações manipuladas podem frequentemente levar a violações de segurança significativas, incluindo a exposição de metadados confidenciais e outros recursos internos.

Compreender o cenário de ataque

Para entender a falsificação de solicitação do lado do servidor, vamos considerar um cenário em que uma rede corporativa é protegida por um firewall. Dentro dessa rede, podem existir vários dispositivos, incluindo computadores, dispositivos pessoais e servidores. No entanto, um servidor web está conectado tanto à rede corporativa quanto à internet, atuando como uma ponte entre as duas.

Exploração de falsificação de solicitação do lado do servidor

Um invasor pode explorar o SSRF utilizando o servidor web ou um servidor em nuvem como ponto de pivô para burlar o firewall e obter acesso aos recursos da rede interna da empresa. Esse acesso não autorizado pode envolver atividades como leitura de arquivos, varredura de portas ou até mesmo execução remota de código.

Por exemplo, uma solicitação de API projetada para recuperar avatares de um servidor de arquivos poderia ser manipulada por um invasor para acessar documentos comerciais ou financeiros confidenciais armazenados em um diretório diferente. Da mesma forma, em um ambiente de nuvem, um invasor poderia potencialmente acessar recursos da nuvem, como credenciais EC2, explorando a falsificação de solicitação do lado do servidor.

Entradas e parâmetros do usuário em vulnerabilidades SSRF

As entradas e os parâmetros do usuário desempenham um papel fundamental na viabilização dos ataques SSRF. Frequentemente, as vulnerabilidades SSRF surgem quando uma API aceita entradas de usuário não validadas ou lida de forma inadequada com parâmetros em solicitações HTTP. Os invasores podem manipular esses parâmetros para enviar solicitações a destinos indesejados, como recursos internos ou outras partes confidenciais da rede corporativa. A validação adequada das entradas do usuário e a sanitização dos parâmetros podem reduzir significativamente o risco de SSRF, impedindo que invasores explorem essas vulnerabilidades para acessar recursos internos.

O risco associado às APIs

Embora as APIs sejam frequentemente consideradas seguras por padrão, é fundamental lembrar que elas são essencialmente aplicações web. Portanto, qualquer vulnerabilidade que afete uma aplicação web também pode afetar uma API. O ato de buscar recursos externos por meio de APIs apresenta um risco significativo, tornando o SSRF uma preocupação crítica para os profissionais de segurança de API.

Mitigação do SSRF por meio de comunicação segura no back-end

Uma das formas mais eficazes de mitigar o SSRF é proteger a comunicação entre a API e os serviços de back-end. Isso inclui a implementação de medidas rigorosas de controle de acesso, garantindo que os recursos internos não sejam expostos a solicitações não autorizadas e configurando cuidadosamente as definições de DNS para impedir que invasores resolvam endereços IP internos. Além disso, o uso de canais criptografados e a garantia de que os pontos de extremidade da API só se comuniquem com serviços de back-end confiáveis podem reduzir significativamente o risco de ataques SSRF. Também é essencial atualizar regularmente os protocolos de segurança e garantir um design adequado da API, alinhado com as Top 10 práticas recomendadas de segurança da API do OWASP.

Mitigação de falsificação de solicitação do lado do servidor

Para mitigar o risco de SSRF, várias medidas podem ser implementadas:

  • Listas de permissões: implemente listas de permissões para restringir os recursos que podem ser obtidos por meio de APIs. Ao especificar determinados recursos, as organizações podem garantir que apenas recursos autorizados e seguros sejam acessados.
  • Isole servidores web: evite colocar servidores web diretamente na rede interna da empresa. Em vez disso, considere implantá-los em um segmento de rede separado ou na nuvem para minimizar o potencial de ataques SSRF.
  • Avalie a necessidade de recursos: avalie se a obtenção de recursos externos é realmente necessária para o funcionamento da API. Minimizar a dependência de recursos externos pode reduzir a superfície de ataque e mitigar o risco de falsificação de solicitação do lado do servidor.
  • Proteção por firewall: sempre utilize um firewall na rede corporativa para fornecer uma camada adicional de defesa contra acessos não autorizados e possíveis ataques SSRF.
  • Siga as recomendações de design da API: mantenha-se atualizado com as recomendações de design de API que fornecem as práticas recomendadas para o desenvolvimento de APIs resilientes contra ataques SSRF.

Perguntas frequentes

Compreender a falsificação de solicitação do lado do servidor (SSRF) é essencial para a segurança da web, pois representa um risco substancial para a confidencialidade e integridade das aplicações web e dos sistemas em que elas se baseiam.

Ao compreender o SSRF e seu impacto potencial na segurança das aplicações web, os desenvolvedores e profissionais de segurança podem implementar medidas de mitigação adequadas, como a aplicação de controles de acesso rigorosos e a restrição dos destinos das solicitações do lado do servidor. Além disso, os testes de configuração incorreta de segurança e as avaliações de vulnerabilidade devem incluir verificações de vulnerabilidades SSRF para identificar e corrigir quaisquer pontos fracos antes que os invasores possam explorá-los.

A prevenção de ataques de falsificação de solicitação do lado do servidor (SSRF) requer uma combinação de medidas técnicas e treinamento de conscientização. As estratégias para prevenir ataques SSRF incluem:

  • Validação de entrada e lista de permissões: implemente uma validação de entrada e uma lista de permissões rigorosas de URLs e endereços IP para garantir que as entradas fornecidas pelo usuário só possam acessar recursos permitidos.
  • Treinamento de conscientização sobre segurança: ofereça treinamento de conscientização sobre segurança para desenvolvedores, administradores e outros funcionários. Informe-os sobre os riscos associados aos ataques SSRF, vetores de ataque comuns e práticas recomendadas para prevenir vulnerabilidades do SSRF.
  • Auditorias e testes de segurança regulares: realize testes de segurança e testes de penetração regulares em aplicações web para identificar e corrigir vulnerabilidades do SSRF.

Aqui estão alguns sinais comuns de que um sistema ou uma aplicação foi comprometido por um ataque SSRF:

  • Solicitações de saída incomuns: monitore o tráfego de saída da rede em busca de padrões incomuns ou destinos inesperados. 
  • Acesso a dados confidenciais: detecte quaisquer tentativas de acesso não autorizado a dados ou recursos confidenciais dentro da rede interna. 
  • Solicitações para interfaces administrativas: monitore as solicitações para interfaces administrativas ou pontos de extremidade de gerenciamento que não podem ser acessados por meio da aplicação web.
  • Registros e mensagens de erro: analise os registros de aplicações, registros de servidores e mensagens de erro para verificar se há indícios de ataques SSRF.
  • Vulnerabilidades de APIs: monitore o desempenho e o uso da API para detectar tentativas de acesso não autorizado ou solicitações incomuns da API. Fique atento a quaisquer anomalias na autenticação, autorização ou padrões de uso da API que possam indicar um possível ataque SSRF direcionado a pontos de extremidade da API.

Os profissionais de segurança podem utilizar várias ferramentas, como Burp Suite, OWASP ZAP e SSRFmap, para a verificação automatizada de vulnerabilidades de falsificação de solicitação do lado do servidor. Ferramentas de teste manual, como cURL e Postman, também são eficazes. As ferramentas de teste de segurança de API são valiosas para identificar vulnerabilidades do SSRF.

Por que os clientes escolhem a Akamai

A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicações empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, a escala e a experiência líderes do setor necessárias para expandir seus negócios com confiança.

Publicações relacionadas do blog

O objetivo final desses ataques é extrair e roubar dados confidenciais do usuário, como números de cartão de crédito e detalhes pessoais de cobrança.
PCI DSS v4: Descobrindo ameaças de skimming na Web com integrações de pagamento
Explore como vários métodos de integração de pagamentos podem ser ameaçados por ataques de skimming na web e exfiltração de dados no lado do cliente.
Leia mais
Sistemas de registros eletrônicos de saúde, cuja maioria possui portais ou apps em que os pacientes podem solicitar medicamentos ou pagar contas, são enormes alvos clínicos e financeiros para hackers.
Três maneiras de usar o Zero Trust para reduzir o risco cibernético no setor de saúde
À medida que as violações de dados se tornam mais comuns, os provedores de serviços de saúde que usam uma estrutura Zero Trust para priorizar a segurança dos dados terão uma vantagem competitiva.
Leia mais
API Security was the top choice for Dan Hotels because of its easy integration, advanced analytics capabilities, timeline-based view of the data, and managed threat hunting.
O desafio de proteger as API de uma rede de hotéis de luxo
Quando a rede de hotéis de luxo Dan Hotels percebeu que seus parceiros estavam comprometidos, sua equipe de tecnologia recorreu ao Akamai API Security.
Leia mais

Explore todas as soluções de segurança da Akamai

Inicie sua avaliação gratuita e veja a diferença que a maior e mais confiável plataforma de entrega em nuvem do mundo pode fazer.

Leve-me até lá