Server Side Request Forgery (SSRF) merupakan entri baru dalam OWASP Top 10. Pelajari selengkapnya risiko keamanan ini di artikel kami berikut.
Server Side Request Forgery (SSRF) adalah salah satu ancaman keamanan yang termasuk dalam OWASP Top 10 terbaru (2021). Memahami SSRF sangat penting untuk menjaga keamanan aplikasi web karena serangan ini dapat mengekspos informasi sensitif, mengakses layanan internal, dan bahkan mengendalikan server target. Dengan memahami apa itu SSRF, pengembang dan profesional keamanan dapat mengambil langkah-langkah yang diperlukan untuk menghindari risiko keamanan ini.
Table of Contents
Pengertian Server-Side Request Forgery (SSRF)
Server-Side Request Forgery (SSRF) adalah jenis kerentanan keamanan yang terjadi ketika aplikasi web mengambil remote resource tanpa memvalidasi URL yang disediakan pengguna. Hal ini memungkinkan penyerang untuk memaksa aplikasi mengirimkan permintaan yang telah dimanipulasi ke tujuan yang tidak diharapkan, bahkan ketika aplikasi telah dilindungi oleh firewall, VPN, atau access control list (ACL) lainnya.
Baca Juga: Broken Access Control: Risiko Keamanan & Cara Menghindarinya
Contoh Sederhana dari Serangan SSRF
Berikut adalah contoh sederhana untuk memahami bagaimana SSRF bisa terjadi:
- Contoh Formulir Input: Sebuah aplikasi web menyediakan formulir yang memungkinkan pengguna memasukkan URL untuk mengambil data dari situs eksternal. Misalnya, aplikasi memiliki fitur yang bisa mengambil gambar profil dari URL yang disediakan pengguna.
- Proses di Server: Server menerima URL dari input pengguna dan membuat permintaan HTTP untuk mengambil gambar dari URL tersebut.
- Eksploitasi oleh Penyerang: Penyerang menyisipkan URL yang mengarah ke layanan internal yang seharusnya tidak dapat diakses dari luar, contohnya seperti http://localhost:8080/admin.
- Akibatnya: Server membuat permintaan ke URL internal yang disediakan oleh penyerang, memberikan akses yang tidak sah ke layanan internal atau informasi sensitif.
Baca Juga: Sertifikasi Cyber Security Para Ahli Keamanan Siber di LOGIQUE
Dampak dari Serangan Server Side Request Forgery (SSRF)
Server Side Request Forgery (SSRF) merupakan jenis serangan di mana penyerang mengeksploitasi aplikasi server untuk membuat permintaan ke sumber daya internal atau eksternal yang seharusnya tidak dapat diakses oleh pengguna biasa. Potensi kerusakan yang disebabkan oleh SSRF seperti:
1. Kebocoran Data Sensitif
SSRF dapat menyebabkan pengungkapan data sensitif yang seharusnya terlindungi dari akses eksternal. Jika server internal atau layanan API mengandung informasi sensitif, serangan SSRF dapat mengekspos data tersebut ke penyerang.
2. Akses ke Jaringan Internal
Dengan Server Side Request Forgery, penyerang bisa mengeksploitasi kerentanan untuk mengakses layanan internal. Ini bisa mencakup aplikasi internal, database, atau server yang hanya boleh diakses dari dalam jaringan. Penyerang dapat menggunakan akses ini untuk mengeksploitasi sistem internal.
3. Serangan Lateral dan Eskalasi
Server Side Request Forgery dapat digunakan sebagai langkah awal dalam serangan yang lebih luas. Setelah mendapatkan akses ke layanan internal, penyerang dapat melakukan serangan lateral untuk mencari dan mengeksploitasi lebih banyak sistem dalam jaringan. Ini dapat berujung pada eskalasi hak istimewa atau kontrol yang lebih besar atas sistem.
4. Gangguan dan Kerusakan Sistem
Serangan SSRF dapat menyebabkan gangguan pada sistem dengan memicu permintaan yang tidak diinginkan atau merusak layanan internal. Misalnya, permintaan berulang ke server internal dapat menyebabkan overload atau memengaruhi kinerja sistem.
5. Pengungkapan Infrastruktur dan Arsitektur
Melalui serangan SSRF, penyerang dapat memperoleh informasi tentang infrastruktur internal, seperti struktur jaringan, nama server, dan arsitektur aplikasi. Informasi ini dapat digunakan untuk merencanakan serangan yang lebih canggih atau merancang strategi eksploitasi yang lebih efektif.
6. Pelanggaran Kepatuhan
Serangan SSRF dapat mengakibatkan dampak buruk yang serius bagi perusahaan jika mengungkapkan data sensitif yang melanggar peraturan dan kepatuhan seperti GDPR, HIPAA, atau Undang-Undang PDP. Dampak tersebut dapat berupa sanksi hukum ataupun denda.
Cara Mencegah Server Side Request Forgery (SSRF)
Berikut adalah beberapa cara untuk mencegah serangan SSRF terjadi:
- Pisahkan fungsionalitas akses ke remote resource dalam jaringan terpisah untuk mengurangi dampak SSRF.
- Terapkan kebijakan firewall “deny by default” atau aturan kontrol akses jaringan yang hanya mengizinkan lalu lintas intranet penting.
- Sanitasi dan validasi semua data input dari klien.
- Terapkan skema URL, port, dan tujuan dengan positive allow list.
- Jangan kirim respon mentah ke klien.
- Nonaktifkan HTTP redirections.
- Perhatikan konsistensi URL untuk menghindari serangan seperti DNS rebinding dan kondisi race TOCTOU (time of check, time of use).
Server Side Request Forgery (SSRF) merupakan ancaman serius yang dapat menimbulkan dampak signifikan terhadap keamanan aplikasi web. Memahami SSRF dan cara mencegahnya adalah langkah penting dalam menjaga integritas dan keamanan sistem Anda. Dengan menerapkan kontrol keamanan yang tepat, baik dari lapisan jaringan maupun aplikasi, risiko serangan SSRF dapat diminimalisir.
Namun, mengamankan aplikasi web dari ancaman SSRF dan ancaman siber lainnya memerlukan pendekatan yang lebih proaktif dan menyeluruh. Pentesting atau pengujian penetrasi adalah salah satu cara efektif untuk mengidentifikasi dan memperbaiki kelemahan keamanan sebelum dieksploitasi oleh penyerang.
LOGIQUE Digital Indonesia menawarkan jasa pentest profesional untuk membantu Anda meningkatkan keamanan aplikasi dan melindungi data berharga dari ancaman siber. Segera hubungi LOGIQUE untuk konsultasi lebih lanjut. Serangan siber terus meningkat, jangan tunggu sampai terlambat. Amankan sistem Anda sekarang juga! Hubungi kami di (021) 22708935 / 36 atau melalui WhatsApp di 0811-870-321.
