Il colosso dei social ha annunciato di aver progettato un nuovo strumento, denominato SSRF Dashboard, che permette ai ricercatori di sicurezza di cercare vulnerabilità SSRF (Server-Side Request Forgery).
La falsificazione delle richieste lato server consente a un utente malintenzionato di indurre l’applicazione lato server a effettuare richieste HTTP a un dominio arbitrario selezionato dall’utente malintenzionato. Attraverso questo nuovo strumento i ricercatori potranno generare URL di endpoint interni univoci per il targeting e l’interfaccia utente che mostrerà, quindi, il numero di volte in cui gli URL univoci sono stati raggiunti a seguito di un tentativo SSRF.
“In un tipico attacco SSRF, l’attaccante potrebbe far sì che il server stabilisca una connessione a servizi solo interni all’interno dell’infrastruttura dell’organizzazione. In altri casi, potrebbero essere in grado di forzare il server a connettersi a sistemi esterni arbitrari, potenzialmente perdendo dati sensibili come le credenziali di autorizzazione”.
“Questo strumento è una semplice interfaccia utente in cui i ricercatori possono generare URL di endpoint interni univoci per il targeting. L’interfaccia utente mostrerà quindi il numero di volte in cui questi URL univoci sono stati raggiunti a seguito di un tentativo SSRF. I ricercatori possono sfruttare questo strumento come parte della loro prova di concetto SSRF per determinare in modo affidabile se hanno avuto successo”, ha affermato Facebook.
La Dashboard SSRF permetterà ai ricercatori di creare URL di endpoint interni univoci che potrebbero essere presi di mira da attacchi SSRF e determinare se sono stati colpiti e testare il proprio codice SSRF proof-of-concept (PoC).
https://securityaffairs.co/wordpress/123693/hacking/facebook-ssrf-dashboard-tool.html