Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

API7:2023 Server Side Request Forgery

owasp

Server-Side Request Forgery (SSRF) ocurre cuando una API permite que un atacante induzca al servidor a realizar solicitudes en su nombre hacia otros sistemas. La API actúa como intermediario y termina accediendo a recursos que el atacante no podría alcanzar directamente, como servicios internos, metadatos de infraestructura o sistemas protegidos.

Origen del problema

Este riesgo aparece con frecuencia en APIs modernas por causas habituales:

  • APIs que consumen URLs externas (descarga de archivos, webhooks, validaciones, integraciones).
  • Falta de validación del destino de las solicitudes salientes.
  • Confianza excesiva en entradas del usuario que controlan rutas, direcciones o endpoints remotos.
  • Infraestructura cloud compleja, donde existen servicios internos accesibles solo desde la red del servidor.
  • Ausencia de listas permitidas/restricciones claras para conexiones salientes.

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema

Una API permite a los usuarios importar datos desde una URL externa (por ejemplo, cargar una imagen, documento o feed remoto). El servidor se encarga de hacer la solicitud y procesar la respuesta.

Paso 2 – Acción general del atacante

Un atacante proporciona una dirección que apunta a un servicio interno o recurso no expuesto públicamente. La API no valida adecuadamente el destino y realiza la solicitud desde su propia red.

Paso 3 – Resultado o impacto

El servidor accede a información interna o sensible y devuelve parte de esa respuesta al atacante, o la utiliza internamente, exponiendo datos que nunca debieron ser accesibles.

Impacto real si no se gestiona

  • Acceso a servicios internos que no están pensados para usuarios externos.
  • Exposición de información sensible de infraestructura.
  • Pivote para ataques mayores dentro de la red interna.
  • Riesgo elevado en entornos cloud (metadatos, configuraciones).
  • Compromiso de confianza entre servicios y APIs internas.

Conclusión

SSRF es peligroso por una razón simple: convierte tu infraestructura en tu propio enemigo. Si tu API hace solicitudes a nombre del atacante, ya no estás protegiendo solo endpoints: estás protegiendo todo lo que vive detrás de la red.

¿Quieres profundizar en el OWASP API Top 10:2023?

Domina los 10 riesgos más críticos de las APIs de forma práctica con mi curso OWASP API Top 10:2023, actualizado a la última versión.

Accede aqui al curso

Nos vemos en la siguiente entrada

Fernando Conislla

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing