서버 측 요청 변조(Server-Side Request Forgery, SSRF)는 2021년에 신설된 항목이다. SSRF는 서버 측에서 위조된 요청을 보내도록 하는 취약점이다. 애플리케이션이 사용자 제공 데이터에 대해 적절한 검증 없이 사용할 경우 서버로 하여금 공격자가 강제한 제어 동작을 수행하게 된다.
대응방안으로는 클라이언트가 제공한 입력값을 검증하도록 하고, 클라이언트 요청에 대한 응답을 전송하기 전에 서버측에서 결과를 검증한다. 또한, 방화벽을 통해 접근제어 규칙을 적용하여 네으퉈크단에서 필터링을 수행한다.
취약점 유형
사용자 입럭 데이터에 대한 적절한 검증없이 로컬 혹은 원격 리소스에 접근하도록 하는 경우
공격 시나리오
추후 업로드 예정
대응방안
내부 네트워크간 통신의 경우에도 방화벽을 통해 접근통제 규칙을 적용
모든 사용자 입력 데이터에 대한 검증
클라이언트 요청 수행 후 응답에 대해 서버측 결과 검증
'취약점 > OWASP TOP 10' 카테고리의 다른 글
| OWASP 모바일 보안 위협 TOP 10 (0) | 2023.09.15 |
|---|---|
| A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 오류) (0) | 2022.10.19 |
| A08: Software and Data Integrity Failures (소프트웨어 및 데이터 무결성 오류) (0) | 2022.10.18 |
| A07: Identification and Authentication Failures (식별 및 인증 실패) (0) | 2022.10.18 |
| A06: Vulnerable and Outdated Components (취약하고 오래된 구성 요소) (0) | 2022.10.18 |