Facebook a annoncé jeudi un nouvel outil conçu pour aider les chercheurs en sécurité à rechercher les vulnérabilités Server-Side Request Forgery (SSRF).

Selon la définition fournie par l’OWASP, une attaque SSRF permet à un attaquant d’abuser des fonctionnalités d’un serveur pour lire ou mettre à jour des ressources internes.

« L’attaquant peut fournir ou modifier une URL à laquelle le code exécuté sur le serveur lira ou soumettra des données, et en sélectionnant soigneusement les URL, l’attaquant peut être en mesure de lire la configuration du serveur telle que les métadonnées AWS, de se connecter à des services internes tels que http bases de données activées ou effectuer des demandes de publication vers des services internes qui ne sont pas destinés à être exposés », explique OWASP.

Baptisé SSRF Dashboard, le nouvel utilitaire de Facebook présente une interface simple qui permet aux chercheurs de créer des URL de point de terminaison internes uniques pour le ciblage, puis de savoir si leurs URL ont été touchées lors d’une tentative SSRF.

En plus de l’URL de tentative SSRF unique générée, qui est répertoriée dans un tableau à côté d’autres URL, l’outil affiche également la date de création, un identifiant unique et le nombre de visites que l’URL a reçues.

Avec le nouvel outil, selon la plate-forme de médias sociaux, les chercheurs en sécurité peuvent déterminer de manière fiable si leur code de preuve de concept (PoC) SSRF a réussi, étant donné que seuls les PoC réussis reçoivent des hits.

Facebook encourage les chercheurs qui recherchent et découvrent des vulnérabilités SSRF à inclure l’ID de l’URL de la tentative SSRF dans leurs rapports, ainsi que le PoC.

« Les vulnérabilités SSRF (Server Side Request Forgery) sont parmi les plus difficiles à trouver, étant donné que les chercheurs externes ne sont pas en mesure de détecter le comportement vulnérable du serveur de manière directe », note Facebook.

Des informations supplémentaires sur l’outil et sur son utilisation, ainsi que d’autres détails concernant le programme de primes aux bogues de la plate-forme de médias sociaux, sont disponibles ici.

Connexe : Facebook…

Voir la source de cette publication