[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(64일차)

오늘 학습 주제

1. SSRF

 

 

SSRF

---

- 개요 -

Server Side Request Forgery

Server Side에서 이루어지는 요청을 변조하여

공격자가 의도한 서버로 임의의 요청을 할 수 있는 공격

 

외부 서버 자원을 처리하는 서비스에서 외부 서버 URL 파라미터에 대한 검증이 없거나 미흡하여 발생

 

Document Reader, Website 번역기, URL PreviewerImage Viewer, Web 크롤링 서비스 등에서 발생

 

로컬 서버 파일 접근, 내부 웹 서버의 정보 획득조작된 HTTP Request를 특정 내부 서버로 전송 등에 사용

 

 

 

 

 

- 대응 -

server side 요청에 사용되는 입력 Parameter 검증

(White List, Black List)