서버측 요구 위조

Server-side request forgery

컴퓨터 보안에서 서버측 요구 위조(SSRF)는 공격자가 서버의 기능을 악용하여 공격자가 [1]직접 접근할 수 없는 서버 영역 내의 정보에 액세스하거나 조작하는 공격 유형입니다.

도메인 내의 웹 클라이언트(예를 들어 웹 브라우저)를 공격의 프록시로 사용하는 사이트 요구 위조와 마찬가지로 SSRF 공격은 도메인 내의 안전하지 않은 서버를 프록시로 사용합니다.

url의 파라미터가 이 공격에 취약한 경우 공격자가 직접 서버(127.0.0.1 또는 localhost 경유) 또는 외부 사용자가 액세스할 수 없는 백엔드 서버와 대화하는 방법을 고안할 수 있습니다.공격자는 실질적으로 네트워크 전체를 스캔하여 중요한 정보를 검색할 수 있습니다.

SSRF 유형

기본 SSRF:

이런 유형의 공격에서는 공격자에게 응답이 표시됩니다.서버는 공격자가 요청한 URL을 가져와 공격자에게 응답을 반환합니다.

블라인드 SSRF:

이런 유형의 공격에서는 응답이 공격자에게 반환되지 않습니다.따라서 공격자는 이 취약성을 확인하는 방법을 강구해야 합니다.

레퍼런스

  1. ^ "The Open Web Application Security Project". OWASP.org. Retrieved 23 July 2018.
Stub icon

이 컴퓨터 보안 기사는 스텁입니다.위키피디아를 확장함으로써 위키피디아를 도울 수 있습니다.