SSRF (Server-Side Request Forgery)
El backend hace una petición HTTP que tú controlas (parámetro url=, webhook, importador remoto).
Categoría: Web · Vectores avanzados 🎯 Trinchera — El backend hace una petición HTTP que tú controlas (parámetrourl=, webhook, importador remoto). Apuntas
a IPs internas y endpoints de cloud metadata para exfiltrar
credenciales.
🔗 Kill chain — Endpoints clásicos:
http://169.254.169.254/latest/meta-data/iam/security-credentials/
(AWS), http://metadata.google.internal/computeMetadata/v1/
(GCP, requiere Metadata-Flavor: Google),
http://169.254.169.254/metadata/instance?api-version=2021-02-01
(Azure, requiere Metadata: true). De ahí: STS creds → AWS CLI →
takeover.
📡 Huella defensiva — Egress desde el servicio web a 169.254.* o a
rangos RFC1918 inesperados; volumen anómalo de DNS lookups internos.
⚠️ Falso amigo — IMDSv2 mata SSRF clásica vía proxy reverso pero
sigue explotable si: app sigue redirects HTTP, hop-limit subido a
2 para containers, IMDSv1 habilitado en AMIs viejas.
🛡️ Remediación — Allowlist estricto de URLs (no blocklist),
deshabilitar redirects automáticos, usar IMDSv2 con hop-limit=1,
egress firewall rules.
← Volver al glosario completo Última actualización: 2026-06-11