La falsificación de solicitudes del lado del servidor es una vulnerabilidad que permite a un atacante engañar a la aplicación del lado del servidor para que realice solicitudes a un destino/recurso no previsto.
Los ataques de falsificación de solicitudes del lado del servidor (SSRF) son un tipo de vulnerabilidad en la que un atacante puede manipular un parámetro de la aplicación web para crear o controlar las solicitudes en un servidor vulnerable. Estos ataques son a menudo utilizados por los atacantes para atacar sistemas internos inaccesibles desde la red externa y generalmente protegidos por un firewall.
El caso más común es el de una aplicación que, para implementar una función, realiza solicitudes HTTPS a un servicio de terceros. Esta solicitud puede ser necesaria para: consultar una API, descargar un paquete o recuperar información relacionada con el usuario a través de una cuenta (por ejemplo, Facebook, Gravatar). Un atacante podría explotar esta función para hacer solicitudes hacia, por ejemplo, un dominio bajo su control.
| OWASP Top 10 Application Security Risks - 2021 | Referencia |
|---|---|
| A10:2021-Falsificación de solicitudes del lado del servidor (SSRF) | OWASP |
Un ataque SSRF exitoso puede permitir a un atacante escalar y moverse lateralmente detrás del firewall del servidor web de back-end sin limitaciones, llevando a la potencial compromisión total de la confidencialidad, integridad y disponibilidad de la aplicación.Francesco Ongaro
