SSRF
Также: Server-Side Request Forgery
SSRF — это уязвимость, при которой злоумышленник заставляет сервер отправлять запросы к внутренним ресурсам, к которым у него не должно быть доступа.
SSRF (Server-Side Request Forgery) — это ситуация, когда вы обманом заставляете сервер «сходить» туда, куда ему не положено. Представьте, что вы даете охраннику в бизнес-центре записку с просьбой принести вам кофе из буфета, но вместо этого пишете адрес секретного сейфа в кабинете директора. Охранник (сервер) доверяет записке и идет открывать сейф, потому что у него есть ключи, а у вас их нет.
В разработке это происходит, когда ваше приложение принимает URL от пользователя и пытается загрузить по нему данные, не проверяя, куда именно этот URL ведет. В итоге атакующий может использовать ваш сервер как «доверенное лицо» для сканирования внутренней сети, кражи данных из баз или доступа к закрытым API, которые спрятаны за файрволом.
Зачем это нужно
Для вайбкодера это критически важно при работе с инструментами, которые скачивают контент по ссылкам или взаимодействуют с внешними API. Если вы не фильтруете входящие URL, ваш проект может стать инструментом для взлома внутренней инфраструктуры, что приведет к утечке данных или компрометации сервера.