SSRF - Server Side Request Forgery (Sunucu Tarafı İstek Sahteciliği)

Sunucu Tarafı İstek Sahteciliği (SSRF) saldırısında, saldırgan, dahili kaynakları okumak veya güncellemek için sunucudaki işlevleri kötüye kullanabilir. Saldırgan, sunucuda çalışan kodun verileri okuyacağı veya göndereceği bir URL sağlayabilir veya değiştirebilir ve URL’leri dikkatlice seçerek, saldırgan AWS meta verileri gibi sunucu yapılandırmasını okuyabilir, http enable gibi dahili hizmetlere bağlanabilir. Hedef uygulama, verileri bir URL’den içe aktarmak, verileri bir URL’ye yayınlamak veya başka bir şekilde değiştirilebilecek bir URL’den verileri okumak için işlevselliğe sahip olabilir. Saldırgan, tamamen farklı bir URL sağlayarak veya URL’lerin nasıl oluşturulduğunu değiştirerek (yol geçişi vb.) Bu işleve yönelik çağrıları değiştirir. Değiştirilen istek sunucuya gittiğinde, sunucu tarafındaki kod işlenmiş URL’yi alır ve verileri işlenen URL’ye okumaya çalışır.