URL Scanner

O Server-Side Request Forgery (SSRF) é uma vulnerabilidade de segurança web que permite aos atacantes fazer o servidor realizar requisições HTTP para destinos arbitrários, incluindo recursos de rede interna normalmente inacessíveis do exterior. O SSRF se classifica consistentemente entre as vulnerabilidades críticas do OWASP Top 10 e foi responsável por algumas das violações de segurança em nuvem mais significativas dos últimos anos, particularmente em ambientes AWS onde pode expor credenciais IAM e metadados.

Como funcionam os ataques SSRF

As vulnerabilidades SSRF surgem quando aplicações web buscam recursos de URLs fornecidas por usuários sem validação adequada. Funcionalidades comuns que introduzem risco de SSRF incluem geradores de pré-visualização de URL, processadores de webhooks, importadores de arquivos, geradores de PDF e - como neste caso - serviços de scan de URL. Quando um atacante envia uma URL apontando para http://127.0.0.1, http://169.254.169.254 (o endpoint de metadados AWS), ou endereços de rede interna, o servidor obedientemente faz a requisição e pode retornar a resposta ao atacante.

Em ambientes de nuvem, o SSRF é particularmente perigoso. Instâncias AWS EC2 expõem um Instance Metadata Service (IMDS) em 169.254.169.254 que fornece credenciais IAM temporárias, configuração da instância, scripts de dados do usuário e outras informações sensíveis. Uma vulnerabilidade SSRF em uma instância EC2 pode permitir que atacantes roubem credenciais IAM e as usem para acessar buckets S3, bancos de dados e outros serviços AWS - potencialmente comprometendo toda uma infraestrutura em nuvem.

Técnicas de contorno SSRF

Mesmo quando as aplicações implementam validação de URL, os atacantes têm numerosas técnicas de contorno à sua disposição. O DNS rebinding pode enganar verificações de lista de permissão resolvendo para um IP interno após a validação. Inconsistências na análise de URL entre o validador e o cliente HTTP podem ser exploradas usando técnicas como codificação de URL, endereçamento IPv6, notação IP decimal e cadeias de redirecionamento. Protocolos alternativos como file://, gopher:// e dict:// também podem estar disponíveis dependendo da biblioteca HTTP em uso.

Defendendo-se contra SSRF

A prevenção eficaz de SSRF requer uma abordagem de defesa em profundidade. As aplicações devem validar e sanitizar URLs no lado do servidor, usar listas de permissão de domínios e faixas de IP permitidos, e bloquear requisições para faixas de IP privadas e endpoints de metadados em nuvem. A AWS oferece IMDSv2, que requer um token de sessão obtido através de uma requisição PUT, tornando a exploração SSRF significativamente mais difícil. Controles no nível da rede como grupos de segurança VPC e regras de firewall fornecem proteção adicional limitando quais recursos internos o servidor web pode alcançar.