Sunucu Tarafı İstek Sahtekarlığı (Server-Side Request Forgery – SSRF), modern web uygulamalarını tehdit eden en kritik zafiyetlerden biridir. Bu zafiyet, bir saldırganın savunmasız bir web sunucusunu, kendisi adına keyfi ve yetkisiz istekler yapması için kandırmasına olanak tanır. Saldırgan, bu sunucuyu bir vekil (proxy) olarak kullanarak normalde erişemeyeceği iç ağ (intranet) kaynaklarına, yerel dosyalara ve hatta bulut hizmetlerinin metadata servislerine ulaşabilir. SSRF, basit bir bilgi sızıntısından tam sunucu kontrolüne kadar değişen geniş bir etki yelpazesine sahip olduğu için siber güvenlik uzmanları tarafından ciddiye alınması gereken bir tehdit olarak kabul edilir.
İçerik Tablosu
SSRF Zafiyetine Giriş
Sunucu Tarafı İstek Sahtekarlığı, bir web uygulamasının dış kaynaklardan bir URL veya IP adresi aldığında ve bu kaynağa sunucu seviyesinde bir HTTP isteği gönderdiğinde ortaya çıkar. Eğer uygulama, kullanıcı tarafından sağlanan bu URL’yi yeterince doğrulamadan veya temizlemeden işlerse, saldırganlar sunucuyu iç ve dış ağlardaki herhangi bir hedefe istek göndermesi için manipüle edebilir. Bu durum, sunucunun güvenlik duvarının arkasındaki hassas sistemlere erişim kapısı açar.
Sunucu Tarafı İstek Sahtekarlığı (SSRF) Nedir?
SSRF, en temel tanımıyla, bir saldırganın hedef sunucunun kimliğini ve ağ konumunu kullanarak başka sistemlere istekler göndermesini sağlayan bir güvenlik açığıdır. Örneğin, bir web sitesinin başka bir siteden bir görselin URL’sini alıp kendi sayfasında gösterdiğini düşünün. Eğer bu URL girdisi düzgün bir şekilde filtrelenmezse, saldırgan `http://127.0.0.1/admin` gibi bir iç ağ adresi vererek sunucunun kendi yönetim paneline istek yapmasını sağlayabilir. Bu istek, sunucunun kendisinden geldiği için genellikle güvenilir kabul edilir ve kimlik doğrulama mekanizmalarını atlatabilir.
SSRF Zafiyetinin Temel Çalışma Mekanizması
SSRF zafiyetinin çalışma mekanizması genellikle dört adımdan oluşur: 1) Saldırgan, URL veya benzeri bir veri bekleyen bir uygulama uç noktası keşfeder. 2) Saldırgan, bu uç noktaya normalde erişilemeyen bir iç ağ adresini (örneğin, `192.168.1.100`) veya sunucunun kendisini (`localhost`) hedef alan özel hazırlanmış bir istek gönderir. 3) Zafiyetli uygulama, bu adresi doğrulamadan kabul eder ve sunucu adına hedefe bir HTTP isteği başlatır. 4) Hedef sistem, bu isteği güvenilir bir kaynaktan (uygulama sunucusundan) geldiği için işler ve sonucunu sunucuya döndürür. Bazı durumlarda bu sonuç saldırgana da yansıtılarak bilgi sızıntısına yol açar.
SSRF ile İstemci Tarafı İstek Sahtekarlığı (CSRF) Arasındaki Farklar
SSRF, genellikle İstemci Tarafı İstek Sahtekarlığı (Cross-Site Request Forgery – CSRF) ile karıştırılsa da ikisi temelde farklı zafiyetlerdir. CSRF, saldırganın kurbanın tarayıcısını kullanarak, kurbanın kimliğiyle yetkisiz eylemler gerçekleştirmesini hedefler. SSRF ise saldırganın doğrudan hedef sunucuyu kullanarak başka sunuculara istek göndermesini sağlar. Temel fark, isteğin kim tarafından ve nereden yapıldığıdır.
| Özellik | SSRF (Sunucu Tarafı İstek Sahtekarlığı) | CSRF (İstemci Tarafı İstek Sahtekarlığı) |
|---|---|---|
| Saldırı Vektörü | Zafiyetli sunucu, saldırganın vekili olarak kullanılır. | Kurbanın tarayıcısı, isteği gönderen araçtır. |
| Hedef | Genellikle iç ağdaki sunucular, localhost veya dış sistemler. | Kurbanın oturum açtığı web uygulamaları. |
| Güven İlişkisi | Uygulama sunucusunun diğer sistemlerle olan güven ilişkisini sömürür. | Web sitesinin kullanıcının tarayıcısına olan güvenini sömürür. |
| Örnek Saldırı | Sunucuyu `http://10.0.0.5/api/delete_user` adresine istek göndermeye zorlamak. | Kullanıcıyı, farkında olmadan `http://banka.com/transfer?to=attacker&amount=1000` linkine tıklatmak. |
SSRF Saldırılarının Potansiyel Etkileri ve Hedefleri
SSRF saldırılarının yıkıcı potansiyeli, saldırganın zafiyetli sunucunun ayrıcalıklarını ve ağ konumunu devralmasından kaynaklanır. Bu durum, normal şartlarda dış dünyaya kapalı olan sistemlere erişim imkanı tanır ve bir dizi tehlikeli senaryonun önünü açar. Saldırının etkileri, basit bir ağ taramasından, hassas verilerin çalınmasına ve tüm altyapının ele geçirilmesine kadar uzanabilir.
İç Ağ (Intranet) Keşfi ve Tarama
Bir saldırgan SSRF zafiyetini kullanarak, şirketin iç ağını haritalandırmak için zafiyetli sunucuyu bir köprü olarak kullanabilir. Bu, saldırının ilk ve en önemli adımlarından biridir.
Port Tarama ve Açık Servislerin Tespiti
Saldırgan, iç ağdaki IP adreslerine ve farklı port numaralarına sistematik istekler göndererek hangi servislerin çalıştığını tespit edebilir. Örneğin, `http://192.168.1.10:8080` adresine yapılan bir istek başarılı olursa, o adreste bir web sunucusunun çalıştığı anlaşılır. Bu yöntemle veritabanları, yönetim panelleri ve diğer kritik servisler keşfedilebilir.
Ağdaki Diğer Cihazların ve Sunucuların Haritalanması
Port taramasının bir adım ötesi, iç ağdaki tüm aktif cihazların ve sunucuların IP adreslerini belirlemektir. Saldırgan, `192.168.1.x` gibi IP aralıklarını tarayarak ağ topolojisi hakkında değerli bilgiler edinebilir. Bu bilgiler, saldırının sonraki aşamalarında hangi hedeflere odaklanılacağını belirlemek için kullanılır.
Servis Başlıklarını (Banners) ve Sürümlerini Okuma
Bir porta başarılı bir bağlantı kurulduğunda, birçok servis (HTTP, FTP, SSH vb.) kendilerini tanıtan bir başlık (banner) bilgisi döndürür. Bu başlıklar genellikle servis adını ve sürüm numarasını içerir. Örneğin, “Apache/2.4.29 (Ubuntu)” gibi bir başlık, saldırgana hedef sistemde çalışan yazılımın sürümünü bildirir ve bilinen zafiyetleri araştırması için bir başlangıç noktası sunar.
Sunucunun Kendisine (Localhost) Yönelik Saldırılar
Bazen en değerli hedef, zafiyetli sunucunun kendisidir. Saldırganlar, sunucunun `localhost` (127.0.0.1) adresine istekler göndererek yalnızca yerel olarak erişilebilen kaynaklara ulaşabilirler.
Yerel Dosyalara Erişim (`file://` protokolü ile)
Eğer uygulama `file://` gibi URL şemalarını destekliyorsa, saldırgan sunucu üzerindeki yerel dosyalara erişebilir. Örneğin, `file:///etc/passwd` isteği ile sistemdeki kullanıcı listesi veya `file:///var/www/html/config.php` ile veritabanı bağlantı bilgileri gibi hassas dosyalar okunabilir.
Yönetim Panelleri ve Dahili API’lere Yetkisiz Erişim
Birçok uygulama, yalnızca `localhost` üzerinden erişilebilen özel yönetim panelleri veya API’ler barındırır. Bu paneller genellikle daha az güvenlik önlemine sahiptir çünkü dışarıdan erişilemez oldukları varsayılır. SSRF, bu varsayımı yıkarak saldırganın bu korumalı arayüzlere erişmesine ve sunucu üzerinde tam kontrol sağlamasına olanak tanıyabilir.
Bulut (Cloud) Ortamlarına Yönelik Tehditler
Bulut altyapıları kullanan sistemler için SSRF, özellikle tehlikelidir. AWS, Azure ve GCP gibi büyük bulut sağlayıcıları, sanal makinelerin kendi yapılandırma bilgilerine erişebilmesi için özel bir metadata servisi sunar.
Metadata Servislerine Erişim (AWS, Azure, GCP)
Bu servisler genellikle `169.254.169.254` gibi özel ve yönlendirilemeyen bir IP adresi üzerinden çalışır. Bir sunucu içinden bu adrese yapılan istekler, o sunucuya ait hassas bilgileri döndürür. SSRF zafiyeti, saldırganın bu adrese istek göndererek metadata servisine erişmesini sağlar.
Erişim Anahtarları ve Hassas Konfigürasyon Bilgilerinin Çalınması
Metadata servisinden elde edilebilecek en değerli bilgi, geçici erişim anahtarlarıdır (access keys). Saldırgan, bu anahtarları ele geçirerek bulut hesabında (örneğin AWS S3 bucket’ları, veritabanları vb.) tam yetkiye sahip olabilir. Bu durum, büyük veri sızıntılarına veya altyapının tamamen ele geçirilmesine yol açabilir.
Dış Ağdaki Sistemlere Yönelik Saldırılar
SSRF sadece iç ağa yönelik bir tehdit değildir. Zafiyetli sunucu, dış dünyadaki diğer hedeflere saldırmak için bir sıçrama tahtası olarak da kullanılabilir.
Zafiyetli Sunucuyu Bir Proxy Olarak Kullanma
Saldırgan, kendi kimliğini gizlemek için zafiyetli sunucuyu bir vekil (proxy) olarak kullanabilir. Tüm saldırı trafiği bu sunucu üzerinden yönlendirildiği için, saldırının kaynağını tespit etmek zorlaşır. Bu durum, saldırgan için önemli bir anonimlik katmanı sağlar.
Diğer Web Sitelerine ve Servislere Anonim Saldırılar Düzenleme
Saldırgan, zafiyetli sunucuyu kullanarak diğer web sitelerine hizmet dışı bırakma (DDoS) saldırıları düzenleyebilir, zafiyet taraması yapabilir veya yasa dışı faaliyetlerde bulunabilir. Bu durumda, saldırının sorumlusu olarak zafiyetli sunucunun sahibi olan kurum veya kişi görünecektir.
SSRF Zafiyetinin Türleri
SSRF zafiyetleri, sunucunun yaptığı isteğin sonucunu saldırgana geri döndürüp döndürmemesine göre iki ana kategoriye ayrılır. Bu ayrım, zafiyetin nasıl sömürüleceğini ve tespit edileceğini doğrudan etkiler.
Temel (Basic) SSRF Zafiyeti
En basit ve en kolay sömürülebilen SSRF türüdür. Bu senaryoda, sunucunun yaptığı isteğin sonucu (HTTP yanıtı) doğrudan saldırganın tarayıcısına veya aracına geri yansıtılır.
Sunucudan Gelen Cevabın Saldırgana Doğrudan Yansıtılması
Örneğin, bir “URL’den resim yükle” özelliği, belirtilen URL’ye bir istek yapar ve dönen içeriği (resmi) sayfada gösterir. Eğer saldırgan bir iç ağ adresini (örneğin, bir yönetim panelinin giriş sayfasını) hedef alırsa, panelin HTML içeriği saldırgana geri döner. Bu, saldırganın iç ağdaki sistemler hakkında anında ve zengin bilgi edinmesini sağlar.
Kör (Blind) SSRF Zafiyeti
Kör SSRF, adından da anlaşılacağı gibi, sunucunun yaptığı isteğin sonucunu saldırgana doğrudan göstermediği durumlarda ortaya çıkar. Bu tür zafiyetleri tespit etmek ve sömürmek daha zordur, ancak imkansız değildir.
Sunucudan Gelen Cevabın Saldırgana Yansıtılmadığı Durumlar
Uygulama, bir URL’ye istek yapabilir ancak bu isteğin sonucunu sadece kendi iç mantığında kullanır (örneğin, bir veriyi işlemek veya bir işlemi tetiklemek için) ve kullanıcıya herhangi bir çıktı göstermez. Bu durumda, saldırgan isteğin başarılı olup olmadığını dolaylı yollardan anlamak zorundadır.
Zamanlama Farklılıkları ile Servis Tespiti
Saldırgan, farklı portlara sahip iç ağ adreslerine istekler göndererek sunucunun yanıt verme süresini ölçebilir. Eğer bir port açıksa, sunucu bir bağlantı kurmaya çalışacağı için yanıt süresi genellikle daha uzun olur. Kapalı bir port ise anında “bağlantı reddedildi” hatası alacağı için daha hızlı yanıt verir. Bu zamanlama farkı, açık portların tespit edilmesini sağlayabilir.
DNS Geri Çağrıları (Out-of-Band) ile Zafiyet Doğrulama
Bu, kör SSRF’i tespit etmenin en güvenilir yollarından biridir. Saldırgan, kendisine ait bir domain adresini (örneğin, `saldorgan.com`) hedef olarak verir. Eğer zafiyetli sunucu bu adrese bir istek yapmaya çalışırsa, önce bu alan adını çözümlemek için bir DNS sorgusu yapacaktır. Saldırgan, kendi DNS sunucusunu izleyerek bu sorgunun gelip gelmediğini kontrol eder. DNS sorgusunun gelmesi, SSRF zafiyetinin varlığını kesin olarak kanıtlar.
Hata Mesajları Üzerinden Bilgi Toplama
Bazen uygulama, isteğin sonucunu doğrudan göstermese de, isteğin başarısız olduğu durumlarda farklı hata mesajları döndürebilir. Örneğin, “URL çözümlenemedi”, “Bağlantı zaman aşımına uğradı” veya “Geçersiz protokol” gibi hata mesajları, saldırgana hedefin durumu hakkında dolaylı yoldan bilgi verebilir.
SSRF Zafiyetlerinin Sömürülmesinde Kullanılan Teknikler
SSRF zafiyetlerini sömürmek, genellikle geliştiricilerin uyguladığı güvenlik filtrelerini ve ağ kurallarını atlatmayı gerektirir. Saldırganlar bu amaçla çeşitli URL şemalarını, IP adresi kodlama yöntemlerini ve diğer kurnazca teknikleri kullanırlar.
URL Şemalarının Kötüye Kullanımı
Modern URL çözümleme kütüphaneleri, `http://` dışında birçok farklı protokolü veya şemayı destekler. Bu şemaların her biri, saldırgan için farklı bir sömürü potansiyeli taşır.
http:// ve https://
Bunlar en yaygın şemalardır ve genellikle iç ve dış ağlardaki web sunucularına, API’lere ve yönetim panellerine erişmek için kullanılır. Temel SSRF saldırılarının ana vektörüdür.
file://
Bu şema, sunucunun yerel dosya sistemine erişim sağlar. Saldırganlar `file:///etc/passwd` gibi yollarla hassas sistem dosyalarını veya `file:///var/www/config.php` gibi uygulama yapılandırma dosyalarını okumaya çalışır.
ftp://
FTP (Dosya Transfer Protokolü) şeması, sunucunun bir FTP sunucusuna bağlanmasını sağlar. Bu, iç ağdaki FTP servislerini taramak veya sunucuyu bir FTP sunucusuna veri göndermeye zorlamak için kullanılabilir.
gopher://
Gopher, eski bir protokol olmasına rağmen SSRF sömürüsü için son derece güçlüdür. HTTP’nin aksine, Gopher protokolü istek içinde keyfi TCP verileri (satır sonları dahil) gönderilmesine izin verir. Bu özellik, Redis veya SMTP gibi metin tabanlı protokollere sahip diğer servislere karmaşık komutlar göndermek için kullanılabilir, bu da uzaktan kod çalıştırmaya (RCE) yol açabilir.
dict://
DICT şeması, bir DICT sunucusuna (sözlük sunucusu) bağlanmak için kullanılır. Gopher gibi, keyfi bir ana bilgisayar ve porta bağlanmak ve özel veriler göndermek için kötüye kullanılabilir, bu da onu port taraması ve servislerle etkileşim için kullanışlı bir araç haline getirir.
| URL Şeması | Kötüye Kullanım Amacı | Potansiyel Etki |
|---|---|---|
| http(s):// | İç ve dış web servislerine erişim, API’leri tetikleme. | İç ağ taraması, yönetim panellerine erişim. |
| file:// | Sunucudaki yerel dosyaları okuma. | Hassas veri (şifreler, yapılandırma dosyaları) sızıntısı. |
| gopher:// | Keyfi TCP verileri göndererek metin tabanlı servislere (Redis, SMTP) saldırma. | Uzaktan kod çalıştırma (RCE), veritabanı manipülasyonu. |
| dict:// | Belirli bir sunucu ve porta bağlanarak bilgi toplama. | Port taraması, servis başlıklarını okuma. |
IP Adresi ve Alan Adı Atlama Yöntemleri
Geliştiriciler genellikle `localhost` veya `127.0.0.1` gibi bilinen yerel adresleri engellemek için kara liste (blacklist) tabanlı filtreler kullanır. Ancak bu filtreler kolayca atlatılabilir.
Alternatif IP Adresi Gösterimleri (Decimal, Octal, Hexadecimal)
Birçok sistem, IP adreslerinin farklı formatlardaki gösterimlerini kabul eder. Örneğin, `127.0.0.1` adresi şu şekillerde de yazılabilir:
- Decimal: `2130706433`
- Octal: `0177.0.0.1`
- Hexadecimal: `0x7F000001`
Eğer filtre sadece metin olarak “127.0.0.1” arıyorsa, bu alternatif gösterimler filtreyi kolayca atlatır.
DNS Kayıtlarının Manipülasyonu (Rebinding Attacks)
DNS Rebinding, bir alan adının IP adresinin kısa bir süre içinde değiştirilmesine dayanan gelişmiş bir tekniktir. Saldırgan, kontrol ettiği bir alan adını (`attacker.com`) önce zararsız bir genel IP adresine, ardından ise hedef iç ağ adresine (`127.0.0.1`) yönlendirir. Uygulama ilk kontrolü yaptığında zararsız IP’yi görür, ancak asıl isteği gönderdiğinde DNS kaydı değişmiş olur ve istek `localhost`’a gider.
URL Kodlama (Encoding) ve Kısaltma Servisleri
Basit filtreler, URL kodlama (URL encoding) kullanılarak atlatılabilir. Örneğin, `.` karakteri `%2E` olarak kodlanabilir. Ayrıca, `bit.ly` gibi URL kısaltma servisleri, hedeflenen zararlı URL’yi maskelemek için kullanılabilir. Uygulama, kısaltılmış URL’yi açtığında asıl hedefe yönlendirilir ve filtreler devre dışı kalabilir.
SSRF Zafiyetlerinin Tespiti
SSRF zafiyetlerini bulmak, hem manuel test teknikleri hem de otomatize araçların bir kombinasyonunu gerektirir. Amaç, uygulamanın sunucu adına dış kaynaklara istek yapmasına neden olabilecek herhangi bir girdiyi belirlemek ve manipüle etmektir.
Manuel Pentest Teknikleri
Deneyimli bir siber güvenlik uzmanı (pentester), uygulamanın mantığını anlayarak ve istekleri dikkatlice inceleyerek SSRF zafiyetlerini bulabilir.
URL Parametrelerinin ve Girdilerin İncelenmesi
Testin ilk adımı, `url=`, `uri=`, `path=`, `image_url=` gibi isimlere sahip HTTP parametrelerini aramaktır. Ayrıca, XML veya JSON gibi veri formatları içinde URL bekleyen alanlar da potansiyel hedeflerdir. Bu girdiler, zafiyetin varlığını test etmek için manipüle edilir.
HTTP İsteklerindeki Referansların Manipülasyonu
Bazen SSRF, `Referer` veya diğer HTTP başlıkları gibi daha az belirgin yerlerde de bulunabilir. Örneğin, bir uygulama `Referer` başlığındaki URL’yi alıp analiz için bir istek yapıyorsa, bu başlığı manipüle etmek bir SSRF zafiyetini tetikleyebilir.
Dış Bir Sunucuya Geri Çağrı (Callback) Yaptırma
SSRF’i doğrulamanın en etkili yolu, uygulamayı kontrol altında olan bir dış sunucuya (callback sunucusu) istek yapmaya zorlamaktır. Pentester, Burp Suite’in Collaborator’ı veya benzeri bir araç kullanarak benzersiz bir URL oluşturur ve bu URL’yi şüpheli parametreye girer. Eğer callback sunucusu bir HTTP veya DNS isteği alırsa, zafiyet doğrulanmış olur.
Otomatize Güvenlik Tarama Araçları
Büyük ve karmaşık uygulamalarda, otomatize araçlar potansiyel SSRF zafiyetlerini hızlı bir şekilde belirlemeye yardımcı olabilir.
Dinamik Uygulama Güvenlik Testi (DAST) Araçları
DAST araçları, çalışan bir uygulamayı dışarıdan bir saldırgan gibi test eder. Bu araçlar, bilinen SSRF saldırı kalıplarını (payload’ları) uygulamanın tüm giriş noktalarına gönderir ve bir geri çağrı alıp almadıklarını kontrol eder. Bu, temel SSRF zafiyetlerini bulmak için etkilidir.
Etkileşimli Uygulama Güvenlik Testi (IAST) Çözümleri
IAST çözümleri, DAST’tan daha gelişmiştir. Uygulamanın içine yerleştirilen ajanlar sayesinde kodun çalışma zamanındaki davranışını izlerler. Bir HTTP isteği, uygulamanın tehlikeli bir şekilde sunucu tarafı bir istek yapmasına neden olduğunda, IAST aracı bu davranışı tespit ederek zafiyetin tam olarak kodun neresinde olduğunu belirleyebilir. Bu, özellikle kör SSRF’leri bulmada çok etkilidir.
SSRF Zafiyetlerine Karşı Korunma ve Önleme Yöntemleri
SSRF zafiyetlerini önlemek, çok katmanlı bir savunma stratejisi gerektirir. Bu strateji, güvenli kodlama pratiklerinden ağ seviyesindeki kontrollere ve sunucu yapılandırmasına kadar uzanmalıdır. Tek bir güvenlik önlemine güvenmek genellikle yetersiz kalır.
Güvenli Kodlama ve Girdi Doğrulama
SSRF’e karşı en etkili savunma hattı, uygulama kodunun kendisidir. Geliştiricilerin, dışarıdan gelen verileri asla güvenilir kabul etmemesi gerekir.
Beyaz Liste (Whitelist) Yaklaşımı ile URL ve IP Adresi Kontrolü
Kara liste (blacklist) yaklaşımı (belirli IP’leri veya alan adlarını engellemek) yerine, her zaman beyaz liste (whitelist) yaklaşımı tercih edilmelidir. Uygulamanın yalnızca belirli, güvenilir ve önceden tanımlanmış alan adlarına veya IP adreslerine istek göndermesine izin verin. Örneğin, sadece `api.guvenliservis.com` adresine istek yapılmasına izin verilmeli, diğer tüm hedefler reddedilmelidir.
Sadece İzin Verilen Protokollerin Kullanımı
Uygulamanızın yalnızca HTTP ve HTTPS protokollerine ihtiyacı varsa, `file://`, `gopher://`, `dict://` gibi tehlikeli olabilecek diğer tüm URL şemalarını açıkça engelleyin. Kullandığınız URL işleme kütüphanesinin yalnızca izin verilen şemaları işlemesine izin verecek şekilde yapılandırıldığından emin olun.
URL Çözümleme Kütüphanelerinin Güvenli Kullanımı
Kullanılan programlama dilindeki URL çözümleme ve istek yapma kütüphanelerinin davranışlarını iyi anlamak kritik öneme sahiptir. Bazı kütüphaneler, URL’leri ayrıştırırken veya yönlendirmeleri (redirects) takip ederken beklenmedik davranışlar sergileyebilir. Yönlendirmelerin takip edilmesini devre dışı bırakmak veya yönlendirilen hedefin de beyaz liste kontrolünden geçmesini sağlamak önemlidir.
Ağ Seviyesinde Güvenlik Önlemleri
Uygulama katmanındaki bir zafiyet durumunda bile, ağ seviyesindeki kontroller saldırının etkisini sınırlayabilir.
Ağ Segmentasyonu ve Erişim Kontrol Listeleri (ACL)
Web sunucusunun bulunduğu ağı, veritabanları veya yönetim sistemleri gibi daha hassas sistemlerin bulunduğu ağlardan ayırın (segmentasyon). Web sunucusunun yalnızca işlevini yerine getirmesi için gerekli olan belirli iç sistemlere ve portlara erişmesine izin veren sıkı Erişim Kontrol Listeleri (ACL) tanımlayın.
Güvenlik Duvarı (Firewall) ile Giden (Egress) Trafiğin Filtrelenmesi
Çoğu güvenlik duvarı gelen trafiği (ingress) filtrelemek için yapılandırılır, ancak giden trafiği (egress) filtrelemek de bir o kadar önemlidir. Web sunucusunun internete veya iç ağa yapabileceği istekleri kısıtlayın. Örneğin, sunucunun bulut metadata adresi olan `169.254.169.254`’e erişimini tamamen engelleyin.
Sunucu ve Altyapı Yapılandırması
Sunucuların ve altyapının doğru yapılandırılması, SSRF saldırılarının potansiyel etkisini büyük ölçüde azaltabilir.
Bulut Metadata Servislerine Erişimin Kısıtlanması (IMDSv2)
AWS gibi bulut sağlayıcıları, SSRF saldırılarına karşı daha dayanıklı olan metadata servisinin ikinci sürümünü (IMDSv2) sunmaktadır. IMDSv2, isteğin bir proxy üzerinden gelmesini engelleyen oturum tabanlı bir kimlik doğrulama yöntemi kullanır. Tüm bulut sunucularınızda IMDSv2 kullanımını zorunlu hale getirmek, metadata hırsızlığı riskini önemli ölçüde azaltır.
Web Uygulama Güvenlik Duvarı (WAF) Kurallarının Tanımlanması
Bir Web Uygulama Güvenlik Duvarı (WAF), bilinen SSRF saldırı kalıplarını içeren istekleri tespit edip engelleyebilir. WAF’lar, kara liste tabanlı desen eşleştirme kullanarak `127.0.0.1`, `localhost`, `file://` gibi ifadeleri içeren istekleri engelleyecek şekilde yapılandırılabilir. Ancak WAF’ların tek başına yeterli bir çözüm olmadığını ve atlatılabileceğini unutmamak gerekir.
Gereksiz Servis ve Protokollerin Kapatılması
Sunucu üzerinde çalışması gerekmeyen tüm servisleri ve protokolleri devre dışı bırakın. Bu, saldırı yüzeyini azaltır ve bir SSRF zafiyeti sömürülse bile saldırganın etkileşime girebileceği potansiyel hedef sayısını sınırlar.
SSRF ve Diğer Web Zafiyetlerine Karşı Korunma İçin Neden İHS Telekom’u Tercih Etmelisiniz?
SSRF gibi karmaşık siber tehditlere karşı korunmak, yalnızca güvenli kod yazmaktan daha fazlasını gerektirir; aynı zamanda sağlam, güvenli ve doğru yapılandırılmış bir altyapı üzerinde çalışmayı zorunlu kılar. İHS Telekom olarak, web varlıklarınızı güvende tutmak için tasarlanmış çok katmanlı güvenlik çözümleri ve altyapı hizmetleri sunuyoruz. Güçlü bir hosting altyapısı, düzenli olarak güncellenen sunucular ve ağ seviyesinde uygulanan proaktif güvenlik önlemleri ile SSRF gibi zafiyetlerin riskini en aza indiriyoruz. Sunduğumuz yönetimli VDS ve VPS hizmetleri, işletmenizin ihtiyaçlarına göre özelleştirilmiş güvenlik yapılandırmaları sağlar. Ayrıca, tüm web siteleriniz için kritik öneme sahip olan SSL sertifikası hizmetlerimizle veri iletişiminizin şifrelenerek güvenli kalmasını sağlıyoruz. Özellikle WordPress hosting çözümlerimiz, platforma özgü zafiyetlere karşı ek koruma katmanları içerir. Güvenliğinizi şansa bırakmayın, İHS Telekom’un uzmanlığı ve güvenilir altyapısı ile dijital varlıklarınızı koruma altına alın.