[〜#〜] ssrf [〜#〜]攻撃について今読んでいます。多くの記事 "[〜#〜] ssrf [〜#〜]攻撃」などは「それは脆弱性だ」と語った。どちらが正しい?
頭字語を展開することから始めましょう:[〜#〜] s [〜#〜] erver [〜#〜] s [〜#〜] ide [ 〜#〜] r [〜#〜] equest [〜#〜] f [〜#〜] orgery([〜#〜] ssfr [〜#〜])。
それはうまく説明されています このAcunetixページで 詳細(脆弱なコードと例を含む)。彼らはそれを攻撃だと考えています。 OWASP これも攻撃として分類されます 。
さて、攻撃と脆弱性のどちらを呼ぶべきかについての混乱の原因は、一般にそれらがペアになっていることであり、私たちはそれらについて非常に大まかに話します。したがって、両方とも言うことができます:
1つ目はssrf attackを指し、2つ目はssrf脆弱性を指します。これは一般的です。SSRFを上記のSQLiと交換できます。同じ結果になります。¹実際には、foo攻撃ごとに、対応するfoo脆弱性を参照できます。foo攻撃が機能するように定義されます。コンテキストはすべてのケースでそれらを明確にします。そのため、それを表現する最も純粋な方法でなくても、私たちはそれを続けます。
しかし、単純化はさておき、SSRFは攻撃だと考えます。これはForgeryなので、実際には攻撃です。
As OWASPで説明 :
攻撃は、攻撃者がアプリケーションの脆弱性を悪用するために使用する手法です。攻撃は脆弱性と混同されることが多いため、説明している攻撃がアプリケーションの脆弱性ではなく、攻撃者が行うものであることを確認してください。
SSRFの脆弱性について話しますが、厳密にはSSRF攻撃に対して脆弱であることです。脆弱性自体は 検証の欠如 です。もちろん、どの程度正確に分類するかは、攻撃と脆弱性の両方に使用する正確な定義によって異なります。
CISSPによると 脆弱性は
脅威が発生する可能性が高い、または発生頻度が高くなる可能性のある、資産内のセーフガードの欠如または脆弱性。
ISO/IEC TS 17961Cセキュアコーディングルールそれを定義する a
攻撃者が明示的または暗黙的なセキュリティポリシーに違反することを可能にする一連の条件
「脆弱性」とは、ソフトウェアおよび一部のハードウェアコンポーネント(ファームウェアなど)に見られる計算ロジック(コードなど)の弱点であり、悪用されると、機密性、整合性、ORに悪影響を及ぼす可用性。
weaknessではないため、「SSRF脆弱性」をこれらの定義に合わせるために、少しストレッチする必要があります。ただし、弱点の結果:SSRF攻撃は機能します。
したがって、SSRFは攻撃の名前であり、脆弱性ではありません。sensustrictoSSRF攻撃に対して脆弱であることについて話し合う必要があります、a SSRFの脆弱性がありません。
¹実際、この質問とまったく同じですが、SSRFではなくXSSを参照しています:XSSは脆弱性または攻撃ですか?