SSRF — Server Side Request Forgery : Comprendre et Prévenir

Qu'est-ce que le SSRF ?

Server-Side Request Forgery (SSRF) — OWASP Top 10 A10:2021 — est une vulnérabilité qui permet à un attaquant de forcer le serveur à effectuer des requêtes HTTP vers des ressources internes ou externes, en abusant d'une fonctionnalité légitime (import d'URL, webhook, preview de lien).

Exemple d'exploitation

Une application permet d'importer une image via URL. L'attaquant soumet http://169.254.169.254/latest/meta-data/ (AWS metadata endpoint). Le serveur effectue la requête et retourne les clés IAM de l'instance EC2.

Impact en environnement cloud

Accès aux métadonnées d'instance (AWS IMDSv1, GCP, Azure), vol de credentials IAM, mouvement latéral vers d'autres services internes, scan du réseau interne, accès à des services non exposés publiquement (Redis, Elasticsearch, Kubernetes API).

Variantes SSRF

SSRF aveugle : pas de retour direct mais effets observables (DNS lookup, connexion TCP). SSRF semi-aveugle : réponse partielle (code HTTP, durée). SSRF complet : contenu de la réponse accessible.

Détection en pentest

Test de tous les paramètres acceptant des URLs, utilisation de Burp Collaborator pour le SSRF aveugle, fuzzing avec des adresses internes (10.0.0.0/8, 172.16.0.0/12, 169.254.169.254).

Remédiation

Liste blanche d'URLs autorisées, désactivation des redirections HTTP, utilisation d'IMDSv2 sur AWS, résolution DNS côté serveur avec validation, isolation réseau des serveurs applicatifs.