web-dev-qa-db-ja.com

SSRF攻撃または脆弱性とは何ですか?

[〜#〜] ssrf [〜#〜]攻撃について今読んでいます。多くの記事 "[〜#〜] ssrf [〜#〜]攻撃」などは「それは脆弱性だ」と語った。どちらが正しい?

1
just4learn2

頭字語を展開することから始めましょう:[〜#〜] s [〜#〜] erver [〜#〜] s [〜#〜] ide [ 〜#〜] r [〜#〜] equest [〜#〜] f [〜#〜] orgery([〜#〜] ssfr [〜#〜])。

それはうまく説明されています このAcunetixページで 詳細(脆弱なコードと例を含む)。彼らはそれを攻撃だと考えています。 OWASP これも攻撃として分類されます

さて、攻撃と脆弱性のどちらを呼ぶべきかについての混乱の原因は、一般にそれらがペアになっていることであり、私たちはそれらについて非常に大まかに話します。したがって、両方とも言うことができます:

  • マロリーはssrfを実行し、パスワードハッシュをダンプしました。
  • このアプリケーションには修正が必要なssrfがあります

1つ目はssrf attackを指し、2つ目はssrf脆弱性を指します。これは一般的です。SSRFを上記のSQLiと交換できます。同じ結果になります。¹実際には、foo攻撃ごとに、対応するfoo脆弱性を参照できます。foo攻撃が機能するように定義されます。コンテキストはすべてのケースでそれらを明確にします。そのため、それを表現する最も純粋な方法でなくても、私たちはそれを続けます。

しかし、単純化はさておき、SSRFは攻撃だと考えます。これはForgeryなので、実際には攻撃です。

As OWASPで説明

攻撃は、攻撃者がアプリケーションの脆弱性を悪用するために使用する手法です。攻撃は脆弱性と混同されることが多いため、説明している攻撃がアプリケーションの脆弱性ではなく、攻撃者が行うものであることを確認してください。

SSRFの脆弱性について話しますが、厳密にはSSRF攻撃に対して脆弱であることです。脆弱性自体は 検証の欠如 です。もちろん、どの程度正確に分類するかは、攻撃と脆弱性の両方に使用する正確な定義によって異なります。

CISSPによると 脆弱性は

脅威が発生する可能性が高い、または発生頻度が高くなる可能性のある、資産内のセーフガードの欠如または脆弱性。

ISO/IEC TS 17961Cセキュアコーディングルールそれを定義する a

攻撃者が明示的または暗黙的なセキュリティポリシーに違反することを可能にする一連の条件

MITREによる

「脆弱性」とは、ソフトウェアおよび一部のハードウェアコンポーネント(ファームウェアなど)に見られる計算ロジック(コードなど)の弱点であり、悪用されると、機密性、整合性、ORに悪影響を及ぼす可用性。

weaknessではないため、「SSRF脆弱性」をこれらの定義に合わせるために、少しストレッチする必要があります。ただし、弱点の結果:SSRF攻撃は機能します

したがって、SSRFは攻撃の名前であり、脆弱性ではありません。sensustrictoSSRF攻撃に対して脆弱であることについて話し合う必要がありますa SSRFの脆弱性がありません。

¹実際、この質問とまったく同じですが、SSRFではなくXSSを参照しています:XSSは脆弱性または攻撃ですか?

1
Ángel