A10:2021 – Falsificación de Solicitud del Lado del Servidor (SSRF)

Los desarrolladores pueden prevenir SSRF implementando algunos o todos los siguientes controles de defensa en profundidad:

Desde la capa de red

• Segmenta la funcionalidad de acceso a recursos remotos en redes separadas para reducir el impacto de SSRF.
• Aplica políticas de firewall o reglas de control de acceso a la red de "denegar por defecto" para bloquear todo excepto el tráfico intranet esencial.
  Sugerencias:
  ~ Establece una propiedad y un ciclo de vida para las reglas de firewall basadas en aplicaciones.
  ~ Registra todos los flujos de red aceptados y bloqueados en los firewalls (ver A09:2021-Fallas en el Registro y Monitoreo de Seguridad).
  

Desde la capa de aplicación:

• Sanea y valida todos los datos de entrada proporcionados por el cliente.
• Aplica el esquema de URL, el puerto y el destino con una lista de permisos positiva.
• No envíes respuestas en bruto a los clientes.
• Desactiva las redirecciones HTTP.
• Sé consciente de la consistencia de la URL para evitar ataques como el DNS rebinding y las condiciones de carrera "time of check, time of use" (TOCTOU).

No mitigues SSRF mediante el uso de una lista de denegación o expresiones regulares. Los atacantes tienen listas de payloads, herramientas y habilidades para eludir las listas de denegación.

Medidas adicionales a considerar:

• No implementes otros servicios relevantes para la seguridad en sistemas frontales (por ejemplo, OpenID). Controla el tráfico local en estos sistemas (por ejemplo, localhost).
• Para frontends con grupos de usuarios dedicados y gestionables, utiliza cifrado de red (por ejemplo, VPNs) en sistemas independientes para considerar necesidades de protección muy altas.