是SSRF攻击还是漏洞？

Question

我现在正在阅读关于SSRF攻击的文章，很多文章都说"SSRF是一种攻击“，而其他人则说”这是一个漏洞“。哪个是对的？

Answer 1

让我们首先扩展缩写:服务器端请求伪造(SSFR)。

详细解释了马齿苋(在这个Acunetix页面上) (包括易受攻击的代码和示例)。他们认为这是一次攻击。OWASP 也把它归类为攻击.

现在，关于某物是否应该被称为攻击或漏洞的困惑的根源是，通常这些是成对的，我们非常松散地谈论它们。所以我们都可以说：

• Mallory执行了ssrf并转储密码哈希。
• 这个应用程序上有一个ssrf，我们需要修复它。

第一个是ssrf攻击，第二个是ssrf漏洞。这是很常见的，您可以使用上面的SQLi交换SSRF，并得到相同的结果。实际上，对于每次foo攻击，您都可以引用相应的foo漏洞，该漏洞将被定义为foo攻击才能工作。上下文在每一种情况下都会消除它们的歧义，所以我们继续这样做，即使它不是最纯粹的表达方式。

但除了简化，我认为SSRF是一次攻击。这是伪造的，所以实际上是一次攻击。

作为由OWASP描述：

攻击是攻击者利用应用程序中的漏洞进行攻击的技术。攻击通常与漏洞混淆，因此请确保您所描述的攻击是攻击者会做的事，而不是应用程序中的弱点。

尽管我们会讨论SSRF漏洞，但严格来说，它很容易受到SSRF攻击。该漏洞本身就是一个缺乏验证。当然，我们如何准确地对其进行分类将取决于我们对攻击和漏洞使用的确切定义。

根据CISSP漏洞是

在资产中缺乏或不足以使威胁更有可能发生或更频繁发生的保障措施。

ISO/IEC TS 17961 C安全编码规则定义它 a

允许攻击者违反显式或隐式安全策略的一组条件。

米特雷

“漏洞”是在软件和一些硬件组件(例如固件)中发现的计算逻辑(例如代码)中的一个弱点，一旦被利用，就会对机密性、完整性或可用性产生负面影响。

我们需要一些扩展来将“SSRF漏洞”纳入这些定义，因为这不是一个弱点，而是弱点的后果:SSRF攻击会起作用。

因此，SSRF是攻击的名称，而不是漏洞，严格地说，我们应该讨论易受SSRF攻击的漏洞，而不是SSRF漏洞。

­

事实上，我们有一个与这个问题完全相同的问题，但我们指的是XSS，而不是SSRF：XSS是漏洞还是攻击？。