SSRF 【Server-Side Request Forgery】 サーバサイドリクエストフォージェリ

概要

SSRF(Server-Side Request Forgery)とは、Webサーバに対する攻撃手法の一つで、サーバに特定のURLアクセスして結果を送信するよう仕向ける手法。アクセス先のURL利用者が指定できるWebアプリケーションなどに行われる。

利用者入力したURLアクセスして情報を取得するようなアプリケーションに、攻撃者が直接アクセスできないようなURLを指定し、不正に情報を取得したり何らかの操作を行わせたりする攻撃である。

例えば、インターネット上のWebページを取得する想定のネットサービスに、運営元の内部ネットワークWebサーバURLを指定するといった攻撃パターンが考えられる。攻撃者から内部ネットワークに直接アクセスできなくても、サービス側の構成や設定によっては公開サーバを介してアクセスできてしまう。

SSRFを防ぐ対策としては、入力されたURLなどの文字列の検証に加え、SSRF攻撃に応用されるXML外部実体参照(XXE)、ディレクトリトラバーサルSQLインジェクションOSコマンドインジェクションなどを可能にする脆弱性の修正、公開サーバに対する権限の制限などがある。

(2024.8.4更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。