Server Side Request Forgery: атака на веб-приложение, которая страшнее, чем кажется

В докладе рассматривается уязвимость в веб-приложениях, приводящая к атаке SSRF (Server Side Request Forgery). Доклад включает в себя описание самой уязвимости, к каким серьёзным последствиям может приводить её наличие и в каких неожиданных местах она может появляться. Отдельно затрагивается проблема некорректных и недостаточных мер противодействия атаке и того, как их обходят злоумышленники.

Целевая аудитория: разработчики веб-приложений и других клиент-серверных программ, а также специалисты по информационной безопасности, обеспечивающие защиту внешнего периметра инфраструктуры компании.

По окончании доклада аудитория должна лучше понять причины возникновения SSRF, какие ошибки можно допустить при имплементации механизмов защиты и почему же всё-таки стоит больше внимания уделять данному вопросу.

Денис Рыбин
Денис Рыбин Digital Security

Сообщество PDUG

Окончил СПБПУ по специальности «Информационная безопасность». В компании Digital Security занимается анализом защищенности веб-приложений и внутренних сетей компаний. Читал лекции в рамках программы стажировки внутри компании. Выступал с докладом на конференции Zeronights 2017 в секции Web Village. В свободное время исследует защищенность различных современных фреймворков разработки веб-приложений, а также инструментов развёртки (k8s, Docker). Участвует в программах bug bounty.