Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Server-Side Request Forgery (SSRF): Definition und Abwehr

Erfahren Sie, wie die adaptiv Multi-Faktor-Authentifizierung Datenschutzverletzungen, schwache Passwörter und Phishing-Angriffe bekämpft.

Aktualisiert: 01. September 2024 Lesezeit: ~

Topics

Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Bei einer serverseitigen Anforderungsfälschung (SSRF) verwendet ein Angreifer routinemäßige, alltägliche Befehle, um in geheime Teile Ihres Servers einzudringen oder die IT ganz zu übernehmen. 

SSRF beginnt mit einer Sicherheitslücke. Ein Teil Ihres Codes ermöglicht es einem Hacker, gängige Serverantworten zu manipulieren oder zu verdrehen. Und wenn Hacker den Angriff erfolgreich durchführen, ist der Eindringling sehr schwer zu erkennen. Ihr Server wird davon ausgehen, dass es sich bei dem Hacker um einen autorisierten Benutzer handelt.  

Wie funktioniert ein SSRF-Angriff?

Ihr Server führt aktive, fortlaufende Konversationen mit jedem Website-Besucher. Ein Hacker verdreht einen Teil dieser Gespräche während eines SSRF-Angriffs. 

Bei einem typischen SSRF-Angriff führt ein Hacker Folgendes aus:

  • Auswählen. Der Hacker sucht nach einer URL oder einem Code, den Ihr Server entweder liest oder auf den er antwortet.
  • Beginnt. Der Hacker erstellt eine Anfrage, die auf den ersten Blick harmlos erscheint. Es kann beispielsweise wie eine normale Anfrage für einen Produkttyp erscheinen. 
  • Ändert. Der Hacker ändert diese normale Anfrage in eine Anfrage nach Ressourcen tief in Ihrem Server, weit hinter der Firewall. Der Hacker könnte diesen Vorgang auch nutzen, um Administratorzugriff auf den Server zu erhalten. 

SSRF-Angriffe können ihren Ursprung in URL-Zeichenfolgen haben. Der Eindringling kann ändern, wo der Server nach Daten sucht oder wie der Server die Abfrage verarbeitet. SSRF-Angriffe können aber auch von einem Schema ausgehen, das angibt, wie der Server Daten zurückgibt. 

Einige Eindringlinge starten SSRF-Serverangriffe. Sie besuchen Ihre /Administrator- URL nicht direkt, aber nach ein wenig ausgefallener Fußarbeit mit Codierung und URL Manipulation können sie von außen auf den Administrator-Bereich zugreifen. In der Zwischenzeit geht Ihr Server davon aus, dass die Anforderung von einem internen, authentifizierten Benutzer stammt. Ihre Firewall und Einbruchsalarme sind in diesen Situationen wertlos, da der Server glaubt, dass die Arbeit gültig ist.

Eindringlinge können auch SSRF-Angriffe gegen Backend-Systeme starten, selbst wenn sie über private IP-Adressen verfügen. Auch hier wissen Sie vielleicht nie, dass dieses Problem auftritt.

Wie könnte Ihnen ein SSRF-Angriff schaden?

Hacker nutzen in der Regel SSRF-Schwachstellen, um Systeme anzugreifen, von denen Sie glauben, dass sie durch die Firewall geschützt sind. Wenn sie in das Innere gelangen, könnten die Auswirkungen erheblich sein. 

Ihr Hacker könnte einen SSRF-Angriff zu folgenden Zwecken nutzen :

  • Ablenken. Der Hacker identifiziert einen Dritten und startet einen Angriff von Ihrem Server aus. Das Opfer glaubt, dass Sie für den Schaden verantwortlich sind. 
  • Bauen. Der Hacker kann beliebige Hosts in Ihrem internen Netzwerk verbinden. 
  • Schleife. Der Hacker stellt möglicherweise eine Verbindung zu Diensten her, die auf Ihrem Anwendungsserver ausgeführt werden. In diesem Fall werden die Einschränkungen Ihrer Firewall umgangen. 

Angreifer haben die Technik in letzter Zeit bei verheerenden Angriffen eingesetzt. Im Jahr 2019 haben Hacker beispielsweise die Sicherheitsvorkehrungen von Capitol One verletzt und Daten von mehr als 106 Millionen Menschen gestohlen. Es ist weithin anerkannt, dass SSRF-Techniken in dieser Episode verwendet wurden.  

Pläne zur Verhinderung von SSRF-Angriffen

Während eines erfolgreichen SSRF-Angriffs befindet sich der Eindringling in der Regel hinter Ihrer Firewall. Sie können sich nicht darauf verlassen, dass Ihr routinemäßiges, alltägliches Detektionsgerät die Sicherheitsverletzung erkennt. 

Sprechen Sie mit Ihrem Internetanbieter und Sicherheitsanbieter über Erkennungstools. Einige Unternehmen haben Screening-Tools, die speziell für diese Art von Angriffen entwickelt wurden. Wenn Sie sie verwenden, können Sie sicherstellen, dass das Problem nicht weiterhin besteht.

Sie können auch vernünftige Präventionsmaßnahmen ergreifen, darunter:

  • Weiße Liste. Identifizieren Sie die DNS Namen und IP-Adressen, auf die Ihre Anwendung zugreifen kann. 
  • Blockierung. Erlauben Sie keine Schemata, die Sie für Ihre routinemäßige, alltägliche Arbeit nicht benötigen. 
  • Verschärfung. Verwenden Sie einen Zero-Trust-Sicherheitsansatz und erfordern Sie eine ständige Überprüfung. 

Wir bei Oktaglauben an die Kraft des Zero-Trust-Ansatzes. Tatsächlich wurden wir als führend im Bereich Zero Trust Security anerkannt. Erfahren Sie mehr darüber, wie dieser Ansatz funktioniert und wie Sie IT implementieren können. 

Referenzen

Serverseitige Anforderungsfälschung. OWASP. 

Capital One Sicherheitsverletzung: Was das Security-Team jetzt tun kann. (August 2019). Dunkle Lektüre. 

Server-Side Request Forgery (SSRF): Ausnutzungstechnik. (Oktober 2020). Informationssicherheit. 

SSRF 101: Wie sich Server-Side Request Forgery an Ihren webbasierten Apps vorbeischleicht. (Februar 2020). Dunkle Lektüre. 

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt