Server-Side Request Forgery (SSRF) Nedir 
Sunucuyu Sunucuya Karşı Kullanan Saldırı
“Saldırgan kapıyı çalmaz; seni kendi kapılarını açmaya zorlar.”
— Ersan Karavelioğlu
SSRF Nedir
SSRF (Server-Side Request Forgery), saldırganın bir uygulamayı kandırarak
sunucunun kendisi adına başka sistemlere HTTP/HTTPS istekleri göndermesini sağlamasıdır.
Saldırgan doğrudan erişemez;
Sunucu onun yerine erişir.
Neden Bu Kadar Tehlikelidir
Sunucular genelde
daha geniş yetkilere sahiptir.
İç ağlara, metadata servislerine erişebilirler.
SSRF, dışarıdan içeri açılan gizli tüneldir.
SSRF Nasıl Ortaya Çıkar
Uygulama kullanıcıdan URL alır.
Bu URL doğrulanmaz.
Sunucu bu adrese istek gönderir.
Klasik Bir Örnek
“Resmi indir” özelliği
Kullanıcı URL verir
Sunucu o URL’yi fetch eder
SSRF ile Neler Hedeflenir
İç ağ servisleri (localhost, 127.0.0.1)
Cloud metadata servisleri
Normalde erişilemeyen kaynaklar
Cloud Ortamlarında Neden Kritik
AWS, GCP, Azure metadata endpoint’leri
Access key’ler buradadır
Tek istekle tüm bulut hesabı açılabilir
SSRF Türleri Nelerdir
Basic SSRF – Yanıt görülebilir
Blind SSRF – Yanıt yok, etki var
Blind SSRF tespiti daha zordur
Blind SSRF Nasıl Çalışır
Yanıt kullanıcıya dönmez
Ama istek gönderilir
Etki loglardan veya yan etkilerden anlaşılır
SSRF ve Port Scanning
Sunucu iç ağda port taraması yapar
Saldırgan iç ağ haritası çıkarır
Keşif aşaması sessizce gerçekleşir
SSRF ile Yetki Ele Geçirme
Metadata’dan token çekilir
Cloud IAM yetkileri alınır
Tam sistem kontrolüne giden yol açılır
SSRF ve WAF
Bazı bilinen pattern’leri yakalar
Ama çoğu SSRF
mantıksaldır
Asıl çözüm uygulama içindedir
URL Validation Neden Zor
IP → DNS dönüşümleri
Redirect zincirleri
Küçük bir kaçamak yeterlidir
DNS Rebinding Nedir
Aynı domain farklı IP’lere çözülür
İlk kontrol geçilir, sonra iç ağa yönlenir
SSRF için klasik kaçış tekniğidir
SSRF ve Firewall
İç ağ trafiği genelde serbesttir
SSRF firewall’u içeriden bypass eder
En tehlikeli yanı budur
Nasıl Önlenir
Allowlist (izinli domain’ler)
Metadata endpoint’lerini kapatma
Outbound trafik kısıtlama
Sunucu da sınırlandırılmalıdır
SSRF Tespiti Nasıl Yapılır
Anormal outbound istekler
İç IP’lere erişim denemeleri
Loglama ve izleme şarttır
En Büyük Yanılgı
“Bizde URL alan yok.”
Dosya indirme, webhook, preview…
Dolaylı URL kullanımları unutulur
Küçük Uygulamalar Riskli mi
Evet.
Otomatik taramalar SSRF dener
Cloud’da risk daha büyüktür
Son Söz İçerden Gelen Tehdit
SSRF, dış saldırganı
içeriden biri gibi davranır hâle getirir.
Sunucu güvenliyse bile
neye eriştiği güvenli olmayabilir.
Güvenli mimari, sunucunun da sınırları olduğunu kabul eder.
“Sunucuya sınırsız güven, saldırgana sınırsız erişim demektir.”
— Ersan Karavelioğlu
