サービス一覧

会社概要

記事

ナレッジ

用語集

お問い合わせ

資料ダウンロード

ログイン

トップ

アウェアネス

AI SOC

サービス一覧

会社概要

記事

ナレッジ

用語集

お問い合わせ

資料ダウンロード

SSRF(Server-Side Request Forgery)

SSRF(Server-Side Request Forgery)とは、ひとことで言えば、攻撃者がサーバに任意のURLへリクエストを送信させることで、内部システムやクラウドメタデータサービスにアクセスする脆弱性です。OWASP Top 10 2021で新設カテゴリとなりました。典型例は、画像URLを受け取って取得する機能に「http://169.254.169.254/...」などのAWSメタデータエンドポイントを指定し、IAMクレデンシャルを窃取する攻撃です。Capital One事件で大規模漏えいの原因となりました。対策にはURL許可リスト、内部IPアドレスへのアクセス遮断、メタデータサービスv2(IMDSv2)の利用、ネットワークレベルでの分離が含まれます。

用語集に戻る