SSRF erklärt: Server-Side Request Forgery (OWASP A10) — 2026
17. Mai 2001 · von Pentevo
Server-Side Request Forgery (SSRF) bringt einen Server dazu, Anfragen zu stellen, die er nicht stellen sollte – an interne Systeme, Cloud-Metadatendienste oder andere Ressourcen, die der Angreifer nicht direkt erreichen kann. Es steht auf Platz 10 der OWASP Top 10 und ist in Cloud-Umgebungen besonders gefährlich geworden.
Die Grundidee
Viele Apps rufen URLs im Auftrag des Servers ab – ein Bild von einem Link laden, einen Webhook aufrufen, ein Dokument von einer URL importieren. Wenn die App eine vom Nutzer gelieferte URL nimmt und sie ohne Einschränkung abruft, kann ein Angreifer sie nach innen richten: auf interne Dienste, Admin-Panels oder Cloud-APIs, die Anfragen vertrauen, die vom Server selbst kommen.
Warum es in der Cloud so gefährlich ist
Cloud-Plattformen stellen einen internen Metadatendienst bereit, der Instanzinformationen zurückgibt – manchmal einschließlich Zugangsdaten. Ein Server mit SSRF kann dazu gebracht werden, diesen Endpunkt abzufragen und die Antwort an den Angreifer zurückzugeben. So kam es zu einigen großen Cloud-Datenpannen: SSRF → Metadaten → Zugangsdaten → weiterreichender Zugriff.
Typische Szenarien
- Abrufen einer vom Nutzer gelieferten URL (Bild-/Dokumentenimport, Webhooks).
- „URL-Vorschau“-Funktionen.
- PDF-/Screenshot-Generatoren, die eine gegebene URL rendern.
- Jede „Gib eine URL ein und wir verbinden uns damit“-Funktion.
So verhindern Sie es
- Ziele per Allow-List freigeben – nur die spezifischen Hosts/Protokolle erlauben, die die Funktion wirklich braucht. Alles andere ablehnen.
- Interne Bereiche blockieren – Anfragen an private IPs, Loopback und Cloud-Metadaten-Adressen ablehnen.
- Validieren und neu auflösen – Vorsicht vor Redirects und DNS-Tricks, die eine erlaubte URL auf eine interne umlenken.
- Rohe Antworten nicht an den Nutzer zurückgeben, wo vermeidbar.
- Netzwerksegmentierung – begrenzen, was der Server intern überhaupt erreichen kann.
- Gehärtete Cloud-Metadaten-Optionen nutzen (z. B. Metadaten mit Pflicht-Session-Token), wo verfügbar.
Wie es gefunden wird
Tester liefern URLs, die auf interne/Metadaten-Ziele zeigen, und beobachten das Verhalten des Servers – innerhalb eines autorisierten Pentests und mit Tools wie Burp Suite. SSRF verkettet sich oft mit anderen Problemen, und genau hier glänzt schlussfolgerndes KI-Testing.
Verwandt: Broken Access Control, SQL Injection, XSS. Lernen Sie alles kostenlos in der Pentevo Academy.
Häufig gestellte Fragen
Was ist SSRF (Server-Side Request Forgery)?
SSRF ist eine Schwachstelle, bei der ein Angreifer einen Server dazu bringt, Anfragen zu stellen, die er nicht stellen sollte – etwa an interne Systeme, Cloud-Metadatendienste oder andere Ressourcen, die der Angreifer nicht direkt erreichen kann. Sie steht auf Platz 10 der OWASP Top 10 und tritt überall dort auf, wo eine App eine vom Nutzer gelieferte URL ohne Einschränkung abruft.
Warum ist SSRF in der Cloud besonders gefährlich?
Cloud-Plattformen stellen einen internen Metadatendienst bereit, der Instanzinformationen zurückgibt – manchmal einschließlich Zugangsdaten. Ein Server mit einer SSRF-Lücke kann dazu gebracht werden, diesen Endpunkt abzufragen und die Antwort an den Angreifer zurückzugeben. So liefen einige große Cloud-Datenpannen ab: SSRF → Metadaten → Zugangsdaten → weiterreichender Zugriff.
Wie verhindert man SSRF?
Erlauben Sie nur die spezifischen Hosts und Protokolle, die die Funktion wirklich braucht (Allow-List), und blockieren Sie private IP-Bereiche, Loopback und Cloud-Metadaten-Adressen. Validieren Sie URLs neu nach Redirects, geben Sie rohe Antworten möglichst nicht an den Nutzer zurück und segmentieren Sie das Netzwerk. Nutzen Sie außerdem gehärtete Metadaten-Optionen, wo verfügbar.
Wie wird SSRF gefunden?
Tester liefern URLs, die auf interne oder Metadaten-Ziele zeigen, und beobachten das Verhalten des Servers – innerhalb eines autorisierten Pentests, etwa mit Burp Suite. SSRF ist oft blind, weshalb Tester verzögerte Antworten, DNS-Callbacks und Zeitunterschiede korrelieren. Weil SSRF häufig mit anderen Problemen verkettet wird, glänzt hier schlussfolgerndes KI-Testing.
Weiterführende Artikel
VPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsZero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsWas ist ein CVE? Schwachstellen-IDs verstehen (2026)
Was CVE bedeutet, wie die Nummerierung funktioniert, wie CVSS-Schweregrad und EPSS-Werte bei der Priorisierung helfen und wie Sie die relevanten CVEs verfolgen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen