読み方 ： エスエスアールエフ

概要

利用者が入力したURLにアクセスして情報を取得するようなアプリケーションに、攻撃者が直接アクセスできないようなURLを指定し、不正に情報を取得したり何らかの操作を行わせたりする攻撃である。

例えば、インターネット上のWebページを取得する想定のネットサービスに、運営元の内部ネットワークのWebサーバのURLを指定するといった攻撃パターンが考えられる。攻撃者から内部ネットワークに直接アクセスできなくても、サービス側の構成や設定によっては公開サーバを介してアクセスできてしまう。

SSRFを防ぐ対策としては、入力されたURLなどの文字列の検証に加え、SSRF攻撃に応用されるXML外部実体参照（XXE）、ディレクトリトラバーサル、SQLインジェクション、OSコマンドインジェクションなどを可能にする脆弱性の修正、公開サーバに対する権限の制限などがある。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。