SSRF ne anlama gelir?


SSRF, Server-Side Request Forgery ifadesinin kısaltmasıdır. Uygulama kullanıcıdan aldığı URL’ye sunucu tarafından istek atıyorsa ve bu URL yeterince kontrol edilmiyorsa saldırgan iç ağ kaynaklarına erişmeyi deneyebilir.



Riskli senaryolar


URL ile resim çekme, webhook test etme, PDF oluşturma, harici API kontrolü veya dosya içe aktarma gibi özellikler SSRF açısından dikkat gerektirir. Saldırgan localhost, özel IP blokları veya bulut metadata endpointlerini hedefleyebilir.



Allowlist yaklaşımı


En güvenli yaklaşım, istek atılabilecek domainleri açık bir izin listesiyle sınırlamaktır. “Her URL’ye izin ver, sonra engellenecekleri ayıkla” yaklaşımı hataya daha açıktır.



Ağ segmentasyonu


Uygulama sunucusu gereksiz iç servisleri görememelidir. İç servisler ayrı ağ segmentlerinde tutulmalı, metadata servislerine erişim sınırlanmalı ve egress trafik kuralları planlanmalıdır.



Uygulama kontrolleri



  • Özel IP aralıklarını engelle.

  • DNS rebinding riskini düşün.

  • Redirect takip etmeyi sınırlandır.

  • Yanıt boyutu ve zaman aşımı belirle.

  • Harici istekleri logla.