Facebook présente un nouvel outil pour trouver les vulnérabilités SSRF

[ad_1]

Facebook a annoncé jeudi un nouvel outil conçu pour aider les chercheurs en sécurité à rechercher les vulnérabilités Server-Side Request Forgery (SSRF).

Selon la définition fournie par l’OWASP, une attaque SSRF permet à un attaquant d’abuser des fonctionnalités d’un serveur pour lire ou mettre à jour des ressources internes.

« L’attaquant peut fournir ou modifier une URL à laquelle le code exécuté sur le serveur lira ou soumettra des données, et en sélectionnant soigneusement les URL, l’attaquant peut être en mesure de lire la configuration du serveur telle que les métadonnées AWS, de se connecter à des services internes tels que http bases de données activées ou effectuer des demandes de publication vers des services internes qui ne sont pas destinés à être exposés », explique OWASP.

Baptisé SSRF Dashboard, le nouvel utilitaire de Facebook présente une interface simple qui permet aux chercheurs de créer des URL de point de terminaison internes uniques pour le ciblage, puis de savoir si leurs URL ont été touchées lors d’une tentative SSRF.

En plus de l’URL de tentative SSRF unique générée, qui est répertoriée dans un tableau à côté d’autres URL, l’outil affiche également la date de création, un identifiant unique et le nombre de visites que l’URL a reçues.

Avec le nouvel outil, selon la plate-forme de médias sociaux, les chercheurs en sécurité peuvent déterminer de manière fiable si leur code de preuve de concept (PoC) SSRF a réussi, étant donné que seuls les PoC réussis reçoivent des hits.

Facebook encourage les chercheurs qui recherchent et découvrent des vulnérabilités SSRF à inclure l’ID de l’URL de la tentative SSRF dans leurs rapports, ainsi que le PoC.

« Les vulnérabilités SSRF (Server Side Request Forgery) sont parmi les plus difficiles à trouver, étant donné que les chercheurs externes ne sont pas en mesure de détecter le comportement vulnérable du serveur de manière directe », note Facebook.

Des informations supplémentaires sur l’outil et sur son utilisation, ainsi que d’autres détails concernant le programme de primes aux bogues de la plate-forme de médias sociaux, sont disponibles ici.

Connexe : Facebook…

Voir la source de cette publication

[ad_2]

Facebook présente un nouvel outil pour trouver les vulnérabilités SSRF

NOS ARTICLES

Musique 8D : Préparez-vos oreilles…

La start-up EV Byton supprime la moitié de ses 450 employés...

Facebook tire «pseudoscience» de sa liste de catégories d’annonces ciblées –...

Palo Alto Networks corrige de nombreuses vulnérabilités dans PAN-OS

Un client Discord transformé en voleur de mots de passe par...

Sept façons d’améliorer l’efficacité de votre programme de mesures de sécurité

Cyberpunk 2077 patch 1.2 retardé par l’attaque du ransomware CD Projekt

Quelles startups insurtech sont prêtes à prospérer ? – Tech Crunch

« Je vois des preuves d’une adoption beaucoup plus institutionnelle » – Actualités...

Microsoft choisit Windows 10 2004 comme «mise à jour de mai»,...

Montréal
Qc, H4P 1K8
Canada

support@jubau.com

Vicarius lève 24 millions de dollars pour développer sa plate-forme de...

Destinus prévoit de faire voler un cargo hypersonique à hydrogène avec...

La société de mobilité partagée GoTo Global entre en bourse par...

NOS ARTICLES

Montréal Qc, H4P 1K8 Canada

support@jubau.com

Montréal
Qc, H4P 1K8
Canada