Barracuda full logo

Die 10 größten API-Sicherheitsrisiken der OWASP: Serverseitige Anfragefälschung

Themen:
17. Juli. 2023
|
Paul Dughi

Auf Platz sieben der  10 größten API-Sicherheitsrisiken 2023 des Open Worldwide Application Security Project® (OWASP) steht Server Side Request Forgery (SSRF) , die serverseitige Anfragefälschung.

SSRF ist eine ruchlose Taktik, die es Angreifern ermöglicht, Serverfunktionen zu missbrauchen, um Zugriff auf Bereiche zu erhalten, die nicht direkt verfügbar sein sollten. Angreifer können willkürlich ausgehende Anfragen von einem Server stellen, Informationen aus internen Systemen sammeln, die nicht öffentlich zugänglich sind oder Metadaten-Endpunkte abfragen.

Angriffsvektoren

SSRF-Attacken kommen vor, wen Angreifer einen API-Endpunkt finden, der Zugriff auf einen vom Benutzer bereitgestellten Uniform Resource Identifier (URI) hat. Bei einem einfachen SSRF-Angriff untersuchen Angreifer die Endpunkte und suchen nach Antworten, die Informationen enthalten, die sie zur Ausbeutung verwenden können – beispielsweise die Analyse des HTTP-Statuscodes. Ein blinder SSRF-Angriff löst kein direktes Feedback aus, sondern ermöglicht es einem Angreifer, Informationen daraus abzuleiten, die verwendet werden können, Server dazu zu verleiten, den Zugriff zu ermöglichen.

OWASP stuft Angriffe durch serverseitige Anfragefälschungen als einfach ein.

Security-Schwächen

Eine unsachgemäße Validierung von URIs ist weit verbreitet, aber auch ziemlich einfach zu erkennen. Routinemäßige API-Anfragen und die Analyse der resultierenden Antworten können potenzielle Informationen aufdecken, die Angreifer verwenden könnten. Security-Schwächen in APIs aus blinden SSRF-Angriffen zu erkennen, ist etwas schwieriger.

Laut OWASP sind die modernen Verfahren bei der Entwicklung von Anwendungen weiter verbreitet und gefährlicher. Entwickler greifen meistens auf externe Ressourcen basierend auf Benutzereingaben zu. Cloud-Anbieter, Docker oder Kubernetes können jedoch Management und Kontrolle auf vorhersagbaren Pfaden offenlegen, was sie zu einem einfachen Ziele für einen solchen Angriff macht, wenn keine angemessenen Schutzmaßnahmen vorhanden sind.

Aufgrund der Art und Weise, wie Anwendungen miteinander verbunden sind, kann es eine Herausforderung sein, den ausgehenden Datenverkehrs zu begrenzen. Insofern besteht immer das Risiko eines SSRF-Angriffs.

Geschäftliche Auswirkungen

OWASP stuft die wirtschaftlichen Auswirkungen von SSRF-Angriffen als mäßig ein, obwohl sie zu erheblichen Problemen führen können.

Angreifer können die gewonnenen Informationen zum Beispiel für Port-Scans verwenden oder um interne Services aufzudecken, die zur Umgehung von Firewalls oder anderen Security-Systemen genutzt werden können. Dies kann Bedrohungsakteuren Zugriff auf sensible Daten verschaffen oder ihnen ermöglichen, Denial-of-Service-Angriffe (DoS) durchzuführen. Server können auch als Proxys verwendet werden, um bösartige Aktivitäten zu verbergen.

Wie serverseitige Anfragefälschungen funktionieren

Serverseitige Anfrage-Fälschung kommt vor, wenn eine API eine Remote-Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren. Dies ermöglicht Angreifern, die Anwendung zu zwingen, eine Antwort an ein unerwartetes Ziel zu senden, selbst wenn dies durch ein VPN oder eine Firewall geschützt ist.

Ein typischer Angriff könnte so ablaufen:

  • Angreifer suchen nach benutzerdefinierten Eingabefeldern oder Parametern für HTTP-Anfragen.
  • Eine böswillige Anfrage wird gesendet, um die verwundbaren Parameter zu manipulieren.
  • Durch die Angabe interner IP-Adressen, lokaler Hostnamen oder privater Netzwerkbereiche veranlassen Angreifer den Server dazu, Anfragen für Ressourcen zu stellen, die eingeschränkt sein sollten.
  • Angreifer verschaffen sich anschließend Zugang zu sensiblen oder geschützten Daten.
  • Nachdem der Zugriff erteilt ist, können Angreifer sich möglicherweise lateral in den Systemen bewegen oder Angriffe auf andere Netzwerksysteme starten.

SSRF-Angriffe können auch auf externe Quellen zugreifen, zum Beispiel, wenn Angreifer die URL von Drittanbieter-APIs angeben.

OWASP gibt ein Beispiel dafür, wie SSRF-Angriffe in der realen Welt funktionieren könnten. Soziale Netzwerke, die Benutzern das Hochladen von Profilbildern ermöglichen, können einen API-Aufruf für die URL eines Bildes auslösen. Angreifer können eine bösartige URL senden und über den API-Endpunkt ein Port-Scanning im internen Netzwerk durchführen, um offene Ports aufzudecken.

Erkennung von Schwachstellen bei der serverseitigen Anfragefälschung

Die Erkennung von SSRF-Angriffen erfordert eine Kombination aus automatisierten Instrumenten und manuellen Tests, darunter:

  • Überprüfung des Quellcodes zur Ermittlung potenzieller Angriffsvektoren, bei denen Benutzereingaben zu HTTP-Anfragen führen.
  • Manuelle Tests, Bereitstellung von URL-Variationen, IP-Adressen und Protokolle in Eingabefeldern, um zu sehen, ob sie korrekt verarbeitet werden oder unerwartete Ergebnisse liefern.
  • Testen auf lokale Dateieinbindung, um den Zugriff auf Dateien lokalen Server zu versuchen, die sensible Daten enthalten. Dazu sollte auch die Untersuchung des Netzwerks gehören, um festzustellen, Anfragen nach internen IP-Bereichen oder eingeschränkten Segmenten den Zugriff auf nicht autorisierten Ressourcen ermöglichen.
  • Regelmäßige Überprüfung der Protokolle auf unerwartete Anfrage-Muster, wie Anfragen an interne Ressourcen oder ungewöhnliche Ziele.

Tools zum Scannen von Webanwendungen und automatisierte SSRF-Test-Frameworks können APIs automatisch durchsuchen und Anwendungen auf Security-Probleme überprüfen.

Verhindern von Schwachstellen bei der serverseitigen Anfragefälschung

Um Schwachstellen durch serverseitige Anfrage-Fälschung zu verhindern, müssen grundlegende Cybersecurity-Verfahren eingesetzt werden, einschließlich der Durchsetzung des Prinzips der geringsten Privilegien (POLP) und Zero Trust. Lassen Sie keine Benutzereingaben zu, ohne sie vorher zu validieren, unabhängig davon, woher sie kommen.

Sie sollten niemals davon ausgehen, dass interne Ressourcen geschützt sind, wenn sie nicht direkt dem Internet ausgesetzt sind. Wenn Angreifer Zugriff auf Ihr Netzwerk erhalten haben, können Security-Lücken es ihnen ermöglichen, auf nicht verbundene Ressourcen zugreifen. Daher wird dringend empfohlen, dass Sie den Mechanismus zum Abrufen von Ressourcen in Ihrem Netzwerk isolieren. In der Regel werden diese Funktionen verwendet, um entfernte Ressourcen abzurufen, nicht interne.

Wo immer möglich, beschränken Sie den Verkehr, um Verzeichnisse zu ermöglichen für:

  • URL-Schemata und Anschlüsse
  • Medientypen für bestimmte Funktionalitäten
  • das Herunterladen von Ressourcen

Sie sollten auch HTTP-Umleitungen deaktivieren und wie immer sicherstellen, dass Sie mit aktuellen Software-Patches und -Updates auf dem Laufenden bleiben und eine Web Application Firewall verwenden.

On-Demand-Webinar: Die Top 10 der OWASP-API-Sicherheit – Was sich ändert und welche Auswirkungen dies auf Sie hat
Paul Dughi

Paul Dughi ist Journalist für digitalen Content sowie ein Veteran der Medienbranche. Er war Vice President Technology für eine Gruppe von Fernsehsendern und auch Geschäftsführer von sechs eigenen Fernsehsendern in Kalifornien. Zurzeit arbeitet er als CEO bei StrongerContent.com.

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
 Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Wir stellen die neue KI-gestützte Cybersecurity-Plattform BarracudaONE vor
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Cl0p-Ransomware: der schmierige Eindringling, der zuschlägt, während Sie schlafen.
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.