Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Falsification de requête côté serveur (SSRF) : Définition & Défense

Découvrez comment l’authentification multifacteur (MFA) adaptative combat les brèches de données, la compromission des mots de passe faibles et les attaques de phishing.

Mis à jour: 01 septembre 2024 Temps de lecture: ~

Sujette

Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Lors d'une falsification de requête côté serveur (SSRF), un pirate utilise des commandes quotidiennes de routine pour pénétrer dans des parties secrètes de votre serveur ou pour s'emparer complètement de votre système informatique. 

Le SSRF commence par une faille de sécurité. Un élément de votre code permet à hacker de manipuler ou de déformer les réponses courantes du serveur. Et si le hacker réussit son attaque, l'intrus sera très difficile à détecter. Votre serveur croira que le hacker est un utilisateur autorisé.  

Comment fonctionne une attaque SSRF ?

Votre serveur entretient des conversations actives et continues avec chaque visiteur du site web. Un hacker tord une partie de ces discussions lors d'une attaque SSRF. 

Lors d'une attaque SSRF typique, un hacker:

  • Sélectionnez. Le hacker recherche un URL ou un code que votre serveur lira ou auquel il répondra.
  • Commencement. Le site hacker formule une demande qui semble innocente à première vue. L'informatique peut sembler être une demande normale pour un type de produit, par exemple. 
  • Modifie. Le site hacker transformera cette demande normale en une demande de ressources au plus profond de votre serveur, loin derrière le pare-feu. Le site hacker peut également utiliser ce processus pour obtenir un accès administrateur au serveur. 

Les attaques SSRF peuvent avoir pour origine des chaînes d'URL. Votre intrus peut modifier l'endroit où le serveur recherche des données ou la façon dont il traite la requête. Mais les attaques SSRF peuvent également provenir d'un schéma qui identifie la manière dont le serveur renvoie les données. 

Certains intrus lancent des attaques contre le serveur SSRF. Ils ne visitent pas directement votre site /administrateur URL, mais après quelques manipulations de code et de URL, ils peuvent accéder à la section administrateur depuis l'extérieur. Pendant ce temps, votre serveur croit que la demande provient d'un utilisateur interne authentifié. Vos pare-feu et vos alarmes anti-intrusion ne servent à rien dans ces situations, car le serveur croit que le travail est valide.

Les intrus peuvent également lancer des attaques SSRF contre les systèmes backend, même s'ils ont des adresses IP privées. Là encore, il se peut que vous ne vous rendiez jamais compte de ce problème.

Comment une attaque du SSRF pourrait-elle vous nuire ?

Les pirates utilisent généralement les vulnérabilités du SSRF pour cibler les systèmes que vous pensez être protégés par le pare-feu. S'ils pénètrent à l'intérieur, l'impact pourrait être important. 

Votre hacker pourrait utiliser une attaque SSRF pour :

  • Déviation. Le site hacker identifie un tiers et lance une attaque depuis votre serveur. La victime pense que vous êtes responsable des dommages. 
  • Construire. Le site hacker peut connecter des hôtes arbitraires sur votre réseau interne. 
  • Boucle. Le site hacker peut se connecter à des services fonctionnant sur votre serveur d'application. Dans ce cas, les restrictions de votre pare-feu sont contournées. 

Les attaquants ont récemment utilisé cette technique dans des attaques dévastatrices. Par exemple, en 2019, un pirate informatique a violé les protections de sécurité de Capitol One et a volé les données de plus de 106 millions de personnes. Il est largement reconnu que des techniques SSRF ont été utilisées dans cet épisode.  

Plans de prévention des attaques du SSRF

Lors d'une attaque SSRF réussie, l'intrus se trouve généralement derrière votre pare-feu. Vous ne pouvez pas compter sur votre terminal de détection habituel pour repérer la brèche. 

Demandez à votre fournisseur d'accès à Internet et à votre fournisseur de services de sécurité de vous fournir des outils de détection. Certaines entreprises disposent d'outils de dépistage spécialement conçus pour ce type d'attaque. En les utilisant, vous pouvez vous assurer que le problème ne persiste pas.

Vous pouvez également prendre des mesures de prévention de bon sens, notamment :

  • Liste blanche. Identifiez les noms DNS et les adresses IP auxquels vos applications peuvent accéder. 
  • Blocage. N'acceptez pas de schéma dont vous n'avez pas besoin pour votre travail quotidien. 
  • Serrage. Adoptez une approche de la sécurité fondée sur la confiance zéro et exigez une revalidation constante. 

Sur Okta, nous croyons en la puissance de l'approche "Zero Trust". En fait, nous avons été reconnus comme un leader dans le domaine de la sécurité sur le site Zero Trust. Pour en savoir plus sur le fonctionnement de cette approche et sur la manière dont vous pouvez mettre en œuvre les technologies de l'information. 

Références

Falsification des requêtes côté serveur. OWASP. 

Capital One brèche : Ce que l'équipe sécurité peut faire maintenant. (Août 2019). Lecture sombre. 

Falsification des requêtes côté serveur (SSRF) : Technique d'exploitation. (octobre 2020), Infosec. 

SSRF 101 : Comment le Server-Side Request Forgery se faufile dans vos applications web. (février 2020), Lecture sombre. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter