Bienvenue dans le Bac à Sable !
Retour à la liste des mises en situation.
Imaginez que ce qui suit permet d'effectuer une requête à distance pour mettre à jour un stock produit.
Éditez le stock puis soumettez la requête
Le contenu de la requête simulée s'affiche. À présent, remplacez la valeur par "localhost/admin" et soumettez à nouveau la requête
Explications et contre-mesures
La faille SSRF (Server Side Request Forgery) permet de référencer des ressources locales au serveur distant afin de les manipuler.
Cela se produit notamment lors de requêtes d'API utilisant des URLs spécifiques pour lesquelles des valeurs sont attendues ou utilisées.
Pour s'en prémunir il faut vérifier du côté serveur que les requêtes soient légitimes et emploient exactement les URLs souhaitées. Et surtout pas des URL/IP sensibles (machines du réseau local, valeur "0", "127.0.0.1" etc)