Ana içeriğe atla

Kayıtlar

ssrf etiketine sahip yayınlar gösteriliyor

Server Side Request Forgery(SSRF) de Neymiş?

Herkese merhabalar. Bu yazımda SSRF (server side request forgery) konusuna giriş yapacam. SSRF olayına birde ben giriş yapayaım diyerek kaleme aldım. İstiyorsanız başlayalım.
İlk merak ettiğimiz olay SSRF Nedir?
SSRF - Sunucu Taraflı İsteği Sahteciliği - bir saldırgan sunucu adına istek gönderebildiğinde ortaya çıkan bir güvenlik açığıdır. Saldırganların güvenlik açığı bulunan sunucunun istek imzalarını "şekillendirmelerini" sağlar, bu nedenle bir ağ üzerinde ayrıcalıklı bir pozisyon üstlenir, güvenlik duvarı denetimlerini atlayarak ve dahili hizmetlere erişim kazanır.
Örneğin, bir şirketin ağında halka açık bir web sunucusu olduğunu hayal edin: "ornek.example.com"
ornek.example.com , ornek.example.com/proxy adresinde bulunan ve “url” parametresinde belirtilen web sayfasını alan ve kullanıcıya geri döndürecek bir proxy hizmetine ev sahipliği yaptığını varsayalım. Örneğin, kullanıcı URL’ye eriştiğinde:

https://ornek.example.com/proxy?url=google.com

web uygulaması “goo…