Wallarm / Wallarm Learning Center / A10: 2021 OWASP – Falsificación de solicitudes del lado del servidor
OWASP
In

A10: 2021 OWASP – Falsificación de solicitudes del lado del servidor

15 Mins Read
A10: Falsificación de solicitudes del lado del servidor - SSRF 2021

¿Qué es la falsificación de solicitudes del lado del servidor?

El problema de seguridad conocido como "Suplantación de Peticiones al Servidor" o SSRF (siglas en inglés), es un mecanismo que da campo libre a elementos dañinos para activar conexiones HTTP del servidor a destinos variados. La SSRF puede explotar enlaces internos, dentro del alcance del servidor, pero fuera del de los usuarios externos.

¿Qué es la SSRF?

La SSRF emerge cuando un atacante avispado logra burlar una aplicación web, obligándola a establecer una conexión con un dominio interno o prohibido. La manipulación de la entrada de usuario para generar conexiones HTTP o URL imprudentes es, por lo general, el método aplicado.

En una situación teórica, si un servicio web permite a los usuarios insertar una URL que la aplicación debe recuperar y mostrar su contenido, un actor malintencionado podría distorsionar la URL, llevándola hacia un sistema interno y provocando la comunicación de la aplicación con dicho sistema.

Variantes de la SSRF

La SSRF se manifiesta en dos modalidades: básica y ciega.

La SSRF básica otorga al agresor la ventaja de visualizar las consecuencias de su interferencia. Esto brinda la posibilidad de extraer datos valiosos de los sistemas internos.

Por otro lado, si bien la SSRF ciega no permite al atacante ver el resultado, aún así, puede estimular actividades en sistemas internos como enviar información a un servidor interno o desatar un ataque de denegación de servicio.

Caso práctico de propagación de SSRF

A continuación, repasemos un posible uso de SSRF mediante un fragmento de código PHP:


<?php
$url = $_GET['url'];
$content = file_get_contents($url);
echo $content;
?>

En este caso, el código extrae una URL de la entrada de usuario y, luego, obtiene y despliega el contenido de dicha URL. Un elemento malicioso puede aprovechar esta brecha e ingresar una URL de un sistema interno, tal como https://localhost/admin, forzando a la aplicación a interactuar con ella y exponer su contenido.

En resumen, la SSRF es un grave riesgo de seguridad que puede permitir a los piratas informáticos tener acceso a sistemas internos y operar bajo los auspicios del servidor. Entender su operación y cómo prevenirla es esencial para salvaguardar tus servicios web.

El impacto de la SSRF

El compromiso de solicitudes provenientes de la parte del servidor, también conocido como SSRF (Server Side Request Forgery), puede desestabilizar considerablemente la seguridad de una aplicación online. Mediante este tipo de ataques, un individuo malintencionado tiene la capacidad de ingresar a plataformas internas que usualmente estarian clausuradas por barreras de protección como un firewall. Adicionalmente, dicha táctica puede ser aprovechada para efectuar asaltos de amplificación, en los que un escaso volumen de solicitudes genera un caudal vasto de tráfico.

Repercusiones en la seguridad Red

La ejecución de un SSRF puede permitir a un ciberdelincuente la incursión a programas internos que generalmente no serían perceptibles desde el ciberespacio. Esto podría involucrar bases de datos, repositorios de archivos y otras funciones que podrían guardar información delicada. En situaciones extremas, un intruso podría tener la facultad de activar instrucciones en el servidor.

Afecciones en Disponibilidad de las Funciones de la Aplicación

Los embates de SSRF igualmente pueden ser empleados para desencadenar asaltos de negación de servicios. Al saturar una función interna con requerimientos, un ciberdelincuente puede colapsar el servicio, dificultando su acceso a usuarios autenticados. Esto puede ocasionar seria afectación en la disponibilidad de las funciones de la aplicación.

Problemas de Privacidad de la Información

El ciberdelincuente que puede ejecutar un asalto de SSRF tiene la capacidad de ingresar a información delicada. Esto podría abarcar datos personales de los usuarios, detalles financieros y otra documentación que se supone debe estar resguardada. En situaciones extremas, un intruso podría tener la facultad de alterar estos datos.

Daño a la Integridad de la Aplicación

Para concluir, los asaltos de SSRF pueden llevar al deterioro de la integridad de una aplicación. Si un ciberdelincuente tiene la posibilidad de alterar la información en el servidor, esto puede ocasionar conductas imprevistas en la aplicación. Esto podría abarcar la modificación de los resultados de las transacciones, el cambio de información de los usuarios y otros incidentes que podrían desequilibrar la fe de los usuarios en la integridad de la aplicación.

En definitiva, las embestidas de SSRF pueden conllevar graves problemas en seguridad, disponibilidad, privacidad y confiabilidad de una aplicación web. Por ende, es vital tomar todas las acciones posibles para disminuir el riesgo de estos asaltos.

SSRF y OWASP Top 10 2021

El constante avance de las Falsificaciones de Solicitudes al Lado del Servidor (SSRF, por sus siglas en inglés), está tomando un protagonismo notable en la versión 2021 del informe "Los 10 más Grandes Riesgos de OWASP", donde se la asigna el lugar A10. Este rango evidencia que la SSRF se considera como una de las diez mayores preocupaciones de seguridad para las aplicaciones web contemporáneas.

La posición de la SSRF en el informe "Los 10 más Grandes Riesgos de OWASP 2021"

La Iniciativa Voluntaria del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), trabaja incansablemente para impulsar los niveles de seguridad en el mundo del software. Su informe "Los 10 más Grandes Riesgos" proporciona un resumen pactado, detallando las diez mayores amenazas a las que se enfrentan las aplicaciones web. En la edición 2021, la SSRF se ha ganado el lugar A10, destacando su importancia en el entorno de la seguridad digital.

La inclusión de la SSRF en el informe de OWASP subraya su capacidad perjudicial y la importancia de instaurar estrategias para su control. La SSRF puede proporcionar a un ciberatacante la capacidad de penetrar en servicios internos, ejecutar operaciones en lugar de la aplicación, o incluso asumir el mando total de la misma.

¿Cómo se distingue la SSRF de otras amenazas en "Los 10 más Grandes Riesgos de OWASP 2021"?

La SSRF se diferencia de las demás amenazas mencionadas en el informe de OWASP, como la Inyección SQL (A1) o la Divulgación de Datos Sensibles (A3). Su característica única radica en su capacidad para manipular las funcionalidades del software, en vez de aprovechar los errores de código o las configuraciones inapropiadas. Esto incrementa su nivel de complicación tanto para su detección como para su erradicación.

A su vez, un ciberatacante que emplee la SSRF no requiere de acceso previo o un entendimiento avanzado de la aplicación. A diferencia de otros peligros, esto posiciona a la SSRF como un instrumento de asalto viable para aplicaciones accesibles en la red.

SSRF ilustrada en código

La siguiente secuencia de código proporciona un ejemplo de cómo una aplicación puede ser susceptible a la SSRF. Esta muestra una función que recibe una URL y manda una solicitud HTTP a dicho enlace.


import requests

def recuperar_url(url):
    respuesta = requests.get(url)
    return respuesta.text

En esta muestra, si un ciberatacante manipula el valor de la URL, puede redirigir las solicitudes de la aplicación a la URL que él prefiera. Esto podría permitir al ciberatacante direccionar estas solicitudes a URLs de servicios internos, a los que comúnmente no tendría acceso, logrando así obtener datos sensibles o la habilidad de efectuar operaciones usualmente restringidas a la aplicación.

La SSRF en acción

Un punto de vulnerabilidad anticuado pero aún vigente conocido como Falsificación de Solicitudes del Servidor (SSRF, por sus siglas en inglés) brinda a los ciberdelincuentes una forma innovadora de manipular servidores para ejecutar instrucciones no autorizadas en otros sistemas informáticos. Profundicemos un poco en su funcionamiento.

Ejemplos de la SSRF

Funcionamiento y estructura interna de SSRF

En el seno de una estructura SSRF, el elemento clave radica en el procesamiento de solicitudes desde un entorno de servidor. Por ejemplo, un usuario envía una solicitud, el servidor la decodifica y le proporciona una respuesta adecuada. SSRF entra en juego cuando un ciberdelincuente logra ingeniosamente alterar la solicitud original para direccionarla a un sistema diferente.

¿Cómo opera SSRF en la realidad?

Para visualizar mejor, pongamos el siguiente escenario; supongamos que un sitio web ofrece un servicio en el que los usuarios pueden monitorizar el estado de su paquete utilizando un código de seguimiento. Ese código es interpretado por el servidor que consulta las referencias del sistema de logística con respecto al paquete.

Ahora supongamos que un ciberdelincuente modifica de forma ingeniosa la solicitud original de seguimiento del paquete e insta al servidor a interpelar a un sistema interno como puede ser una base de datos confidencial o un sistema de correos. Este tipo de manipulación del servidor permite al delincuente tener acceso a información privada e incluso perpetrar actividades malintencionadas dentro del sistema interno.

SSRF y su impacto cuando es usado en ataques

Disfrutar a modo ilícito de las capacidades de SSRF puede tener consecuencias catastróficas. El ciberdelincuente puede llegar a infiltrarse en sistemas de red internos, robar datos valiosos, emprender acciones destructivas dentro de los sistemas e incluso, en casos más extremos, obtener control absoluto sobre el servidor.

En resumen, SSRF brinda a los ciberdelincuentes una vía para manipular servidores a su antojo para dirigir comandos no autorizados a diversos sistemas informáticos. Se debe prestar atención a implementar estrategias preventivas y de contingencia frente a posibles incursiones SSRF.

Un fragmento de código ilustrativo de un ataque SSRF

Para entender mejor un ataque SSRF, hagamos uso del siguiente segmento de código en Python como referencia. 


import requests

def rastreo_paquete(codigo_seguimiento):
    respuesta = requests.get(f'https://apiseguimiento.com/rastreo?cod={codigo_seguimiento}')
    return respuesta.json()

En este ejemplo, un ciberdelincuente podría introducir un código de seguimiento que en realidad es una URL de referencia a un sistema interno, por ejemplo; 'https://basedatosinterna.com/exportacion'. En este caso, el servidor extraería la información de la base de datos interna y la enviaría de vuelta al ciberdelincuente.

`

 

`

Ejemplo de falsificación de solicitud del lado del servidor

Para entender mejor el concepto de Server Side Request Forgery (SSRF), vamos a considerar un ejemplo práctico. Imagina que tienes una aplicación web que permite a los usuarios obtener información sobre un sitio web ingresando su URL. La aplicación luego hace una solicitud HTTP GET a la URL proporcionada y devuelve la información.

Ejemplo de SSRF Básico

Supongamos que un usuario ingresa "https://ejemplo.com" en el campo de entrada. La aplicación web realiza una solicitud HTTP GET a "https://ejemplo.com" y devuelve la información. Este es el comportamiento esperado.

Pero, ¿qué sucede si un atacante ingresa "https://localhost/admin" en el campo de entrada? En este caso, la aplicación web realizará una solicitud HTTP GET a "https://localhost/admin". Si la aplicación web y el servidor de administración se alojan en la misma máquina, el atacante podría obtener acceso a la interfaz de administración.

Este es un ejemplo de un ataque SSRF básico. El atacante ha logrado forzar a la aplicación web a realizar una solicitud a una URL que no debería poder acceder.

Ejemplo de SSRF Ciego

Ahora, consideremos un ejemplo de SSRF ciego. Supongamos que la aplicación web tiene una funcionalidad que permite a los usuarios enviar correos electrónicos. Para hacer esto, la aplicación web se conecta a un servidor SMTP en "smtp.ejemplo.com" en el puerto 25.

Un atacante podría intentar explotar esta funcionalidad para realizar un ataque SSRF. Podrían ingresar "gopher://localhost:22/_" en el campo de entrada. Si la aplicación web no valida correctamente la entrada del usuario, intentará conectarse a "localhost" en el puerto 22, que es el puerto predeterminado para el servicio SSH.

Si el ataque tiene éxito, el atacante podría obtener una conexión SSH al servidor. Sin embargo, a diferencia del ejemplo anterior, el atacante no recibe una respuesta directa de la solicitud. Por lo tanto, este es un ejemplo de SSRF ciego.

Ejemplo de SSRF con Fugas de Información

En otro escenario, un atacante podría explotar una vulnerabilidad SSRF para obtener información sensible. Por ejemplo, podrían ingresar "file:///etc/passwd" en el campo de entrada. Si la aplicación web no valida correctamente la entrada del usuario, podría devolver el contenido del archivo "/etc/passwd" del servidor, que contiene información sensible sobre los usuarios del sistema.

Estos ejemplos demuestran cómo un atacante podría explotar una vulnerabilidad SSRF para obtener acceso no autorizado a recursos, realizar acciones en nombre de la aplicación web o extraer información sensible. Es importante tener en cuenta que estos son solo ejemplos y que un atacante con conocimientos suficientes podría realizar ataques mucho más sofisticados.

Principales tipos de vulnerabilidades de la SSRF

Hay varias variantes de vulnerabilidades de seguridad identificadas como SSRF, cada una con características y niveles de peligro únicos. A continuación, presentamos algunas de las más comunes.

SSRF Básico

El fallo conocido como SSRF Básico es el más común en ciberseguridad. En este caso, un atacante cibernético puede generar un requerimiento a un servidor interno o externo a través de la alteración de la aplicación vulnerable. Tal versión de SSRF es particularmente preocupante, ya que permite a los ciberatacantes manipular sistemas internos que se creían a salvo gracias a los cortafuegos y otras barreras de seguridad.

SSRF Latente

El SSRF Latente representa un nivel avanzado de vulnerabilidad. Si bien el ciberdelincuente no tiene la posibilidad de visualizar la contestación del servidor, mantiene la capacidad de efectuar requerimientos. Dicha habilidad puede ser usada para realizar ataques de mapeo de red y otros que no necesitan una respuesta visible del servidor.

SSRF a través de XXE (XML External Entity)

Esta modalidad de SSRF se presenta cuando un ciberatacante puede introducir entidades XML externas dentro de una aplicación encargada de tratar con documentos XML. Esto podría permitir al atacante consultar archivos locales, influir en sistemas internos y realizar otros tipos de ataques.

SSRF con Redirecciones

En esta modalidad de SSRF, un ciberatacante puede aprovechar redirecciones para solicitar a los sistemas internos. Esto puede ser especialmente útil si la aplicación cliente sigue las redirecciones de manera automática.

SSRF con Inyección de Encabezados HTTP

Este tipo de SSRF ocurre cuando un ciberatacante puede incluir encabezados HTTP en los requerimientos hechos por la aplicación vulnerada. Este escenario puede otorgar al atacante el control sobre sistemas internos y la posibilidad de ejecutar otros tipos de ataques.

Aquí una tabla comparativa de las distintas categorías de vulnerabilidades SSRF:

Variante de SSRF Nivel de Peligro Resumen
SSRF Básico Alto Permite a los ciberdelincuentes manipular sistemas internos
SSRF Latente Medio Útil para ejecutar ataques de mapeo de red
SSRF a través de XXE Alto Permite el acceso a archivos locales y el control de sistemas internos
SSRF con Redirecciones Medio Útil si la aplicación cliente sigue las redirecciones de manera automática
SSRF con Inyección de Encabezados HTTP Alto Otorga a los ciberdelincuentes control sobre sistemas internos

Es crucial recordar que estos solo representan una muestra de las diferentes formas de fallos de SSRF que pueden surgir. Las variantes posibles son innumerables, y los ciberdelincuentes están constantemente buscando nuevas formas de explotar estas vulnerabilidades.

Ataques SSRF básicos versus ataques SSRF ciegos

Los peligros cibernéticos abarcan diversos riesgos, siendo uno de los más destacados los actos de falsificación de solicitudes del lado del servidor, conocidos como SSRF. Dentro de estos ataques, hay dos categorías dominantes que son: los asaltos estándar de SSRF y los asaltos enmascarados de SSRF. Aunque comparten un propósito común, sus métodos de ejecución varían significativamente.

Asaltos Estándar de SSRF

En los asaltos estándar de SSRF, el ofensor manipula al servidor para que efectúe una petición a un recurso interno o externo, permitiendo al agresor visualizar la respuesta inmediatamente. Esto le brinda al ofensor la oportunidad de apropiarse de datos delicados o manipular el servidor.

Consideremos un instante en el que el agresor consiga que el servidor demande una página web interna con datos privados. Esta manipulación le permite al ofensor visualizar y robar dicha información. De manera similar, si logra que el servidor efectúe algún cambio en algún sistema interno como, por ejemplo, modificar una configuración o borrar un archivo, el impacto podría ser considerado, en gran medida, perjudicial.

Asaltos Enmascarados de SSRF

Los asaltos enmascarados de SSRF son un tanto más complejos. En ellos, el ofensor realiza una manipulación en el servidor para que se efectúe una solicitud, aunque el agresor no pueda obtener la respuesta de manera directa. Aquí, el ofensor deberá usar técnicas variadas para discernir la respuesta del servidor.

En un caso hipotético, el ofensor podría manipular al servidor para que solicite una página web inexistente y, posteriormente, observar si el servidor devuelve un error. Si se obtiene un error, el agresor sabrá que esa página no existe. Sin embargo, si el servidor no devuelve un error, el agresor podrá deducir la existencia de la página, a pesar de no poder visualizarla de manera directa.

Contraste entre Asaltos Estándar y Enmascarados de SSRF

Asaltos Estándar de SSRF Asaltos Enmascarados de SSRF
El ofensor ve directamente la respuesta del servidor. El ofensor no puede visualizar directamente la respuesta del servidor.
El ofensor puede apropiarse de datos delicados. El ofensor debe aplicar distintas técnicas para discernir la respuesta del servidor.
El ofensor puede manipular al servidor. El ofensor puede deducir aspectos sobre el sistema interno, a pesar de no poder visualizarlos de manera directa.

En conclusión, a pesar de que los asaltos estándar y enmascarados de SSRF difieren en su aplicación, ambos poseen la capacidad de comprometer gravemente la seguridad de los sistemas informáticos. Comprender estas diferencias resulta vital para poder establecer las estrategias de defensa apropiadas contra estos tipos de asaltos.

¿Qué tipo de daño puede causar la SSRF?

La problemática de la explotación indebida de solicitudes del Server-Side Request Forgery (SSRF) puede propiciar daños considerables en cualquier infraestructura. Dependiendo de los detalles específicos del sistema y su configuración, estas son algunas consecuencias adversas ocasionadas por SSRF.

Ingresos no legítimos a sistemas restringidos

El SSRF presenta un peligro significativo al brindar la posibilidad de transgresión al atacante dentro de sistemas internos, los cuales estarían teóricamente resguardados por medidas de seguridad como los firewalls. Este escenario podría habilitar el acceso a elementos como los repositorios de datos, servidores web internos y otros activos que deben estar fuera del alcance público.

Extracción de datos no consentida

Una vez que el intruso ha infiltrado un sistema cerrado, existe la capacidad de extracción de data. Los datos robados pueden abarcar desde información valiosa de los clientes, datos financieros hasta incluso secretos industriales.

Implementación de órdenes remotas

La SSRF puede, en ciertas circunstancias, otorgar la facultad al infractor de implementar órdenes remotas en el sistema comprometido. Tales acciones pueden involucrar la instalación de software malicioso, creación de cuentas de usuarios fraudulentas o similares acciones perjudiciales.

Ataques de interrupción del servicio

La SSRF podrían ser utilizada en ataques de Denegación de Servicio (DOS). Mediante la saturación del sistema con solicitudes innecesarias, el atacante puede causar una sobrecarga en el sistema, imposibilitando su acceso para los usuarios válidos.

Ejemplificación de daño por SSRF

Para evidenciar la magnitud del daño provocado por el SSRF, consideremos un escenario. Imagínense que un infractor ha detectado una debilidad SSRF en una plataforma de comercio en línea. Aprovechándose de esta debilidad, el agresor podría dirigir solicitudes al sistema interno que gestiona las transacciones con tarjeta de crédito. Esta circunstancia podría permitir al atacante secuestrar información de tarjetas de crédito, ocasionando considerables pérdidas financieras para la entidad y sus consumidores.

Reflexión final

Para concluir, el SSRF representa una amenaza seria capaz de provocar una gama de problemas, que van desde el ingreso no legítimo a sistemas internos, la extracción no consentida de datos hasta la implementación de órdenes remotas. Es imprescindible que toda organización implemente mecanismos de defensa eficaces para contrarrestar esta amenaza.

¿Cómo identificar la vulnerabilidad de la SSRF?

Reconocer la presencia de una debilidad por SSRF puede representar un obstáculo considerable debido a su peculiar complejidad. No obstante, se disponen de diversas estrategias y equipo sofisticado para asistir en la localización de este tipo de problemas de seguridad.

Examen Nero del Código

Una de las tácticas más pragmáticas para detectar una falla de seguridad por SSRF es examinando minuciosamente el código molesto en busca de implementaciones de funciones que con facilidad se puedan manipular para encaminar peticiones a servidores tanto internos como externos. Algunos de los elementos alertadores de un riesgo de SSRF son:

  • Aplicación de funciones que ejecutan peticiones HTTP o FTP, como "curl" o "file_get_contents" en el contexto de PHP, "HttpWebRequest" en el marco .NET, o "java.net.URL", en el caso de Java.
  • Implementación de funciones que facilitan la incorporación de archivos desde ubicaciones remotas como son "include", "require", "fopen" o "file" en PHP.
  • El empleo de funciones que posibilitan la ejecución de órdenes del sistema, como "exec", "system", "passthru" o "shell_exec" en PHP.

Inspecciones Activas

Las inspecciones activas se erigen como otra estrategia eficaz para la localización de problemas por SSRF. Estas consisten en interactuar con la aplicación en vivo y monitorear su reacción. Algunas de las técnicas aplicables a las inspecciones activas son:

  • Enviar URLs contaminadas a la aplicación con el objetivo de investigar si ejecuta peticiones a servidores internos o externos.
  • Emplear software de interceptación de tráfico, como Burp Suite o OWASP ZAP, para examinar las peticiones y respuestas del programa.
  • Utilizar software de detección de seguridad, como OWASP ZAP o Nessus, buscando identificar problemas por SSRF automáticamente.

Tecnología de Reconocimiento Automático

Existen numerosas tecnologías diseñadas para facilitar el reconocimiento automático de fallos por SSRF. Estas normalmente emplean aritméticas de análisis estático y activo para ubicar posibles anormalidades. Entre las más conocidas se encuentran:

  • OWASP ZAP: Proporciona un ambiente de ensayos de intrusión open source que puede reconocer una variedad de fallos, entre ellos SSRF.
  • Nessus: Un rastreador de problemas de seguridad capaz de reconocer un espectro amplio de incongruencias, incluyendo SSRF.
  • Burp Suite: Un ambiente de ensayos de intrusión para identificar una variedad de problemas, entre ellos SSRF.

Finalizando, el descubrimiento de una debilidad de SSRF demanda un análisis exhaustivo del código problemático, inspecciones activas, y el empleo de tecnología de reconocimiento automático. Sin embargo, debido al perfil específico de este tipo de problemas de seguridad, es de gran importancia implementar estrategias de resguardo adecuadas para anticiparse a posibles incursiones maliciosas.

Mitigar y prevenir ataques

Para contrarrestar y evitar los ataques de SSRF, vale la pena considerar varias tácticas combinadas de seguridad, que se orientan tanto al código como a la infraestructura. Aquí te introduzco algunas estrategias claves.

Restringiendo comunicaciones externas

Una poderosa clave para contrarrestar los ataques SSRF es reducir las comunicaciones externas desde tu servidor. Esto se logra a través de la puesta en marcha de sistemas de seguridad como firewalls u otros mecanismos de control de acceso, que te permiten limitar las comunicaciones a ciertos puertos y direcciones IP.

Autentificación de entradas

Fomentar la autentificación de entradas es un paso crítico para evitar los ataques de SSRF. El proceso consiste en examinar y limpiar todas las aportaciones del usuario para confirmar que no estén plagadas de contenido dañino. Este paso debe llevarse a cabo en las interfaces de usuario y también en el servidor para garantizar eficacia.

Implementar listas de confianza

Tener y aplicar listas de confianza es otra táctica efectiva contra los ataques de SSRF. Se basa en permitir solicitudes solo a URLs de confianza, bloqueando cualquier intento de comunicación con URLs que no figuren en dicha lista.

Deshabilitar capacidades superfluas

Muchas veces, los servidores pueden tener funciones preestablecidas que no son necesarias para su operación, pero que pueden ser aprovechadas en un ataque de SSRF. Desactivar estas funciones adicionales puede disminuir el área de exposición a ataques.

Mantenimiento constante

El mantenimiento y actualización periódica del software del servidor es una estrategia más que esencial para evitar los ataques de SSRF. Las actualizaciones suelen contener soluciones a vulnerabilidades ya conocidas, brindando así una mayor seguridad.

Aplicar seguridad estratificada

Implantar una seguridad estratificada es crucial para contrarrestar los ataques de SSRF. Consiste en emplear distintos niveles de seguridad en diversos niveles del sistema, logrando así una defensa mucho más completa.

En resumen, para la eficaz mitigación de los ataques de SSRF es vital la aplicación de un mix de estrategias de seguridad tanto en el código como en la infraestructura. Al llevar a la práctica estas tácticas, las empresas pueden mejorar su seguridad frente a ataques de SSRF, garantizando la integridad de sus sistemas y datos.

Wallarm protegerá contra la vulnerabilidad de la SSRF

Wallarm es una solución de seguridad avanzada que proporciona una protección integral contra las vulnerabilidades de SSRF (Server Side Request Forgery). Esta plataforma de seguridad utiliza tecnologías de inteligencia artificial y aprendizaje automático para detectar y bloquear ataques de SSRF en tiempo real.

Detección de ataques SSRF con Wallarm

Wallarm utiliza un enfoque de múltiples capas para detectar y prevenir ataques de SSRF. Primero, analiza todas las solicitudes entrantes en busca de patrones de ataque conocidos. Si se detecta un patrón de ataque, la solicitud se bloquea automáticamente.

Además, Wallarm utiliza un sistema de puntuación de riesgo para identificar solicitudes potencialmente peligrosas. Este sistema asigna una puntuación a cada solicitud basada en varios factores, incluyendo el origen de la solicitud, el contenido de la solicitud y el comportamiento anterior del usuario. Las solicitudes con puntuaciones de riesgo altas se bloquean automáticamente.

Protección en tiempo real

Wallarm ofrece protección en tiempo real contra ataques de SSRF. Esto significa que puede detectar y bloquear ataques de SSRF a medida que ocurren, antes de que puedan causar daño. Además, Wallarm puede adaptarse a nuevas amenazas a medida que surgen, gracias a su capacidad de aprendizaje automático.

Prevención de ataques SSRF

Además de detectar y bloquear ataques de SSRF, Wallarm también ofrece herramientas para prevenir estos ataques en primer lugar. Por ejemplo, puede configurar reglas de seguridad personalizadas para bloquear ciertos tipos de solicitudes o para limitar el acceso a ciertos recursos. Además, Wallarm ofrece informes detallados sobre los ataques de SSRF, lo que le permite entender mejor las amenazas y tomar medidas para prevenirlas en el futuro.

Conclusión

En resumen, Wallarm ofrece una protección completa contra las vulnerabilidades de SSRF. Con su capacidad para detectar y bloquear ataques de SSRF en tiempo real, su sistema de puntuación de riesgo y sus herramientas de prevención, Wallarm es una solución de seguridad esencial para cualquier organización que quiera protegerse contra las amenazas de SSRF.

`

 

`

FAQ

Vamos a adentrarnos en un tópico muy debatido en la esfera de la protección virtual: la Falla de Falseamiento de Peticiones en el Lado del Servidor, referida como SSRF, y su vínculo con A10:2021 de OWASP.

Concepto de SSRF

SSRF comprende una serie de puntos débiles de protección que autoriza a un cibercriminal a forzar al sistema de servidor a desplegar solicitudes HTTP que no debería ejecutar. Esta problemática puede desencadenar problemáticas como el descubrimiento de data privada, acciones no autorizadas, u otros percances vinculados con ofensivas cibernéticas.

Relación entre SSRF y A10:2021 de OWASP

A10:2021 de OWASP simboliza la versión más actual en el repertorio de las diez amenazas más riesgosas para la integridad de las aplicaciones web, un ranking emitido por el programa OWASP (Open Web Application Security Project). SSRF se posiciona en este listado por su potencialidad de generar conflictos de gran calado.

Caracterización de un ataque SSRF

Un ataque cibernético SSRF se efectúa frecuentemente mediante la modificicación aviesa de las operaciones de la aplicación web responsables de originar solicitudes HTTP a un sistema de servidor. El cibercriminal puede alterar la URL destino del requerimiento para que el servidor comunique con un recurso no deseado.

Ilustración de un ataque SSRF

Un caso común de ataque SSRF es aquel en el cual el cibercriminal modifica una solicitud HTTP para hacer que el sistema de servidor capture un archivo de un servidor que es operado por el pirata informático. Esta circunstancia puede conceder al cibercriminal la ventaja de inyectar ordenes en el servidor o exponer información privada.

Catálogo principal de errores SSRF

Los errores SSRF se pueden dividir principalmente en dos clases: los fundamentales y los invisibles. Los primeros habilitan al agresor a examinar la respuesta del sistema de servidor a la petición HTTP, mientras que los segundos no lo consenten.

Daños potenciales por SSRF

SSRF puede provocar una variedad de perjuicios, desde la filtración de data privada hasta la ejecución de ordenes no autorizadas en el servidor. También puede conceder el poder al agresor de evadir las restricciones de la red y acceder a los servicios internos.

Reconocimiento de errores SSRF

Hallar una amenaza SSRF puede ser un reto, ya que frecuentemente se entrelazan con tareas legítimas de la aplicación web. No obstante, los análisis de penetración y verificaciones de seguridad pueden ser útiles para reconocer estos errores.

Maneras de aplacar y eludir ataques cibernéticos SSRF

Para aplacar y evitar los ataques cibernéticos SSRF se requiere la incorporación de prácticas de programación eficaces, como la comprobación de entrada y la restricción de las operaciones que aceptan peticiones HTTP, junto con aplicación de métodos de seguridad como cortafuegos y sistemas de acusación de intrusos.

Defensa contra riesgos SSRF con Wallarm

Wallarm ofrece una solución para la integridad de las aplicaciones web que ayuda en la defensa contra los riesgos SSRF. Esta solución abarca la identificación de ataques SSRF, resguardo ante estas ofensivas cibernéticas y soporte para arreglar las eventuales debilidades encontradas.

References

Para obtener una comprensión más profunda de la vulnerabilidad de la falsificación de solicitudes del lado del servidor (SSRF), se recomienda revisar las siguientes referencias:

  1. OWASP. (2021). A10:2021 - Server Side Request Forgery (SSRF). Disponible en: https://owasp.org/www-project-top-ten/2021/A10_2021-Server_Side_Request_Forgery_(SSRF)

  2. PortSwigger. (2021). Server-side request forgery (SSRF). Disponible en: https://portswigger.net/web-security/ssrf

  3. Bishop Fox. (2021). SSRF Attacks. Disponible en: https://www.bishopfox.com/resources/tools/ssrf-attacks/

Libros y Publicaciones

  1. Stuttard, D., & Pinto, M. (2011). The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley Publishing.

  2. OWASP Testing Guide v4. (2014). Testing for Server-Side Request Forgery. Disponible en: https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/19-Testing_for_Server-Side_Request_Forgery

Tutoriales y Blogs

  1. NahamSec. (2020). Server Side Request Forgery (SSRF) - What, Why and How? Disponible en: https://www.nahamsec.com/post/server-side-request-forgery-ssrf-what-why-and-how

  2. Detectify. (2020). What is Server Side Request Forgery (SSRF)? Disponible en: https://www.detectify.com/blog/what-is-server-side-request-forgery-ssrf

Códigos y Ejemplos

  1. GitHub. (2021). SSRF Vulnerable Lab. Disponible en: https://github.com/incredibleindishell/SSRF_Vulnerable_Lab

  2. GitHub. (2021). SSRF Testing. Disponible en: https://github.com/cujanovic/SSRF-Testing

Herramientas de Seguridad

  1. Burp Suite. (2021). Using Burp to Test for Server Side Request Forgery (SSRF). Disponible en: https://portswigger.net/burp/documentation/desktop/tools/scanner/ssrf

  2. Wallarm. (2021). Protect Against SSRF Vulnerability. Disponible en: https://wallarm.com/features/automated-security-testing

Estas referencias proporcionan una visión integral de la vulnerabilidad SSRF, desde su definición y ejemplos hasta las mejores prácticas para mitigar y prevenir estos ataques.

See Wallarm in action
“Wallarm really protects our service and provides good visibility and user-friendly control.”
Learning Objectives
WEBINAR
Wallarm Innovation Update: Improving Your API Security Posture With GraphQL Protection And API Policy Enforcement
Sign up for our comprehensive webinar
REGISTER
Mukhadin Beschokov
Author |
Verified Expert
20+ years IT expertise in system engineering, security analysis, solutions architecture. Proficient in OS (Windows, Linux, Unix), programming (C++, Python, HTML/CSS/JS, Bash), DB (MySQL, Oracle, MongoDB, PostgreSQL). Skilled in scripting (PowerShell, Python), DevOps (microservices, containers, CI/CD), web development (Node.js, React, Angular). Successful track record in managing IT systems.