شرح SSRF: تزوير الطلب من جهة الخادم (OWASP A10) — 2026
17 مايو 2001 · بواسطة Pentevo
تزوير الطلب من جهة الخادم (SSRF) يخدع الخادم ليُرسل طلبات لا ينبغي له إرسالها — إلى أنظمة داخلية أو خدمات بيانات وصفية سحابية أو موارد أخرى لا يستطيع المهاجم الوصول إليها مباشرة. وهو رقم 10 في أهم 10 مخاطر وفق OWASP، وقد صار خطيرًا بشكل خاص في البيئات السحابية.
الفكرة الجوهرية
تجلب كثير من التطبيقات روابط نيابةً عن الخادم — تحميل صورة من رابط، أو استدعاء webhook، أو استيراد مستند من عنوان URL. فإذا أخذ التطبيق عنوانًا مقدَّمًا من المستخدم وجلبه دون قيود، أمكن للمهاجم توجيهه نحو الداخل: إلى خدمات داخلية أو لوحات إدارة أو واجهات API سحابية تثق في الطلبات القادمة من الخادم نفسه.
لماذا هي خطيرة في السحابة
توفّر منصّات السحابة خدمة بيانات وصفية داخلية تُعيد معلومات المثيل — تشمل أحيانًا بيانات اعتماد. ويمكن دفع خادم مصاب بـ SSRF للاستعلام عن تلك النقطة وإعادة الاستجابة إلى المهاجم. هكذا وقعت بعض أكبر اختراقات السحابة: SSRF ← بيانات وصفية ← بيانات اعتماد ← وصول أوسع.
السيناريوهات الشائعة
- جلب رابط مقدَّم من المستخدم (استيراد صورة/مستند، webhooks).
- ميزات «معاينة الرابط».
- مولّدات PDF/لقطات الشاشة التي تعرض رابطًا معيّنًا.
- أي ميزة من نوع «أدخل رابطًا وسنتصل به».
كيف تمنعها
- قائمة سماح للوجهات — اسمح فقط بالمضيفين/البروتوكولات التي تحتاجها الميزة فعلًا. وارفض كل ما عداها.
- احظر النطاقات الداخلية — ارفض الطلبات إلى عناوين IP الخاصة، وعنوان الاسترجاع (loopback)، وعناوين البيانات الوصفية السحابية.
- تحقّق وأعد التحليل — احذر من عمليات إعادة التوجيه وحيل DNS التي تحوّل رابطًا مسموحًا إلى رابط داخلي.
- لا تُعِد الاستجابات الخام إلى المستخدم متى أمكن تجنّب ذلك.
- تقسيم الشبكة — قلّل ما يستطيع الخادم الوصول إليه داخليًا أصلًا.
- استخدم خيارات البيانات الوصفية السحابية المحصّنة (مثل البيانات الوصفية التي تتطلب رمز جلسة) حيثما توفّرت.
كيف تُكتشف
يقدّم المختبِرون روابط تشير إلى أهداف داخلية/بيانات وصفية ويراقبون سلوك الخادم — ضمن اختبار اختراق مصرّح به، بأدوات مثل Burp Suite. وكثيرًا ما تترابط SSRF مع مشكلات أخرى، وهنا يبرز الاختبار بالذكاء الاصطناعي المعتمد على الاستنتاج.
ذات صلة: التحكم المعطوب في الوصول، وحقن SQL، وXSS. تعلّمها كلها مجانًا في أكاديمية Pentevo.
الأسئلة الشائعة
ما هي ثغرة SSRF (تزوير الطلب من جهة الخادم)؟
SSRF ثغرة يخدع فيها المهاجم الخادم ليُرسل طلبات لا ينبغي له إرسالها — إلى أنظمة داخلية أو خدمات بيانات وصفية سحابية أو موارد أخرى لا يستطيع المهاجم الوصول إليها مباشرة. تحتل المرتبة العاشرة في أهم 10 مخاطر وفق OWASP، وتظهر أينما جلبت التطبيقات عنوان URL مقدَّمًا من المستخدم دون قيود.
لماذا تُعدّ SSRF خطيرة بشكل خاص في السحابة؟
توفّر منصّات السحابة خدمة بيانات وصفية داخلية تُعيد معلومات المثيل — تشمل أحيانًا بيانات اعتماد. ويمكن دفع خادم مصاب بـ SSRF للاستعلام عن هذه النقطة وإعادة الاستجابة إلى المهاجم. هكذا وقعت بعض أكبر اختراقات السحابة: SSRF ← بيانات وصفية ← بيانات اعتماد ← وصول أوسع.
كيف تُمنع ثغرة SSRF؟
اسمح فقط بالمضيفين والبروتوكولات التي تحتاجها الميزة فعلًا (قائمة سماح)، واحظر نطاقات IP الخاصة، وعنوان الاسترجاع (loopback)، وعناوين البيانات الوصفية السحابية. أعد التحقق من الروابط بعد عمليات إعادة التوجيه، ولا تُعِد الاستجابات الخام إلى المستخدم قدر الإمكان، وقسّم الشبكة. واستخدم خيارات البيانات الوصفية المحصّنة حيثما توفّرت.
كيف تُكتشف ثغرة SSRF؟
يقدّم المختبِرون روابط تشير إلى أهداف داخلية أو بيانات وصفية ويراقبون سلوك الخادم — ضمن اختبار اختراق مصرّح به، بأدوات مثل Burp Suite. وكثيرًا ما تكون SSRF عمياء، لذا يربط المختبِرون بين الاستجابات المتأخرة ونداءات DNS وفروق التوقيت. ولأنها تترابط غالبًا مع مشكلات أخرى، يبرز هنا الاختبار المعتمد على الاستنتاج بالذكاء الاصطناعي.
مقالات ذات صلة
شرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
Fundamentalsثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
ماذا يعني CVE، وكيف يعمل الترقيم، وكيف تساعدك درجة الخطورة CVSS ودرجات EPSS على تحديد الأولويات، وكيف تتابع الثغرات المهمة.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا