SSRF (Server-Side Request Forgery)

Le SSRF (Server-Side Request Forgery) est une vulnérabilité où un attaquant manipule une application serveur pour qu'elle effectue des requêtes HTTP (ou autres protocoles) vers des cibles choisies. Typiquement, l'application offre une fonctionnalité "fetch URL" (preview de lien, import depuis URL, webhook, OAuth callback) que l'attaquant détourne pour atteindre des ressources internes.

La cible privilégiée d'un SSRF en environnement cloud est le metadata endpoint : http://169.254.169.254/latest/meta-data/iam/security-credentials/ sur AWS, http://metadata.google.internal sur GCP, http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01 sur Azure. Une exploitation réussie permet d'exfiltrer les credentials IAM associés à l'instance, donnant un accès massif au compte cloud. La fuite Capital One de 2019 (100M de données clients) a été causée par un SSRF sur un WAF mal configuré.

Mitigations : (1) sur AWS, forcer IMDSv2 (token obligatoire) ; (2) bloquer les plages d'IPs privées et link-local (169.254.0.0/16, 10.0.0.0/8, 192.168.0.0/16, 127.0.0.0/8) côté serveur ; (3) valider/whitelister les URLs autorisées ; (4) utiliser un proxy de sortie centralisé ; (5) désactiver les redirections HTTP non contrôlées. SSRF est dans le Top 10 OWASP 2021 (A10).