NUEVA ERA DE SSRF: APROVECHA EL ANALIZADOR DE URL

UNA NUEVA ERA DE SSRF: ¡APROVECHANDO EL ANALIZADOR DE URL EN LOS LENGUAJES DE PROGRAMACIÓN DE TENDENCIA!

SSRF: La falsificación de solicitudes del lado del servidor

Una nueva técnica de explotación que ofrece una superficie de ataque completamente nueva para eludir las protecciones SSRF (Server Side Request Forgery). Este es un enfoque de ataque muy general, en el que se utiliza en combinación con una herramienta llamada fuzzing para descubrir muchos 0days en bibliotecas integradas de lenguajes de programación muy utilizados, como Python, PHP, Perl, Ruby, Java, JavaScript, Wget. y cURL. La causa raíz del problema radica en la inconsistencia de los analizadores de URL(Uniform Resource Locator)  y los solicitantes de URL(Uniform Resource Locator).

Siendo un problema muy fundamental que existe en las bibliotecas integradas, las aplicaciones web sofisticadas como WordPress, vBulletin, MyBB y GitHub también pueden sufrir, y se han descubierto 0days en ellas a través de esta técnica. Esta técnica general también puede adaptarse a diversos contextos de código y conducir al contrabando de protocolos y a la derivación de SSRF(Server Side Request Forgery).  Explotando los analizadores de URL(Uniform Resource Locator) pueden eludir la protección SSRF(Server Side Request Forgery) en programas reales de recompensas de errores y lograr RCE (Remote Code Execution).

Entendiendo los principios básicos de esta técnica,  no se sorprenderán al saber que se han encontrado más de 20 vulnerabilidades en los famosos lenguajes de programación y aplicaciones web mencionados anteriormente a través de esta técnica.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.