KUHUKSERV

 Server-side request forgery (SSRF) Di bagian ini, kami akan menjelaskan apa itu pemalsuan permintaan sisi server, menjelaskan beberapa contoh umum, dan menjelaskan cara menemukan dan mengeksploitasi berbagai jenis kerentanan SSRF. What is SSRF? Pemalsuan permintaan sisi server (juga dikenal sebagai SSRF) adalah kerentanan keamanan web yang memungkinkan penyerang membujuk aplikasi sisi server untuk membuat permintaan HTTP ke domain sewenang-wenang yang dipilih penyerang. Dalam contoh SSRF biasa, penyerang dapat menyebabkan server membuat sambungan kembali ke dirinya sendiri, atau ke layanan berbasis web lainnya dalam infrastruktur organisasi, atau ke sistem pihak ketiga eksternal.   What is the impact of SSRF attacks? Serangan SSRF yang berhasil sering kali dapat mengakibatkan tindakan tidak sah atau akses ke data dalam organisasi, baik dalam aplikasi yang rentan itu sendiri atau pada sistem back-end lain yang dapat digunakan untuk berkomunikasi dengan aplikasi tersebut. Dalam beberapa

Di bagian ini, kami akan memberikan beberapa informasi latar belakang utama tentang OpenID Connect yang akan membantu Anda memahami beberapa kerentanan yang akan kami bahas. Jika Anda baru mengenal OAuth dan OpenID Connect secara khusus, sebaiknya baca bagian ini sebelum mencoba menyelesaikan lab berbasis OpenID kami. What is OpenID Connect? OpenID Connect memperluas protokol OAuth untuk memberikan identitas khusus dan lapisan otentikasi yang berada di atas implementasi OAuth dasar. Ia menambahkan beberapa fungsionalitas sederhana yang memungkinkan dukungan yang lebih baik untuk kasus penggunaan otentikasi OAuth. OAuth pada awalnya tidak dirancang dengan mempertimbangkan otentikasi; itu dimaksudkan untuk menjadi sarana pendelegasian otorisasi untuk sumber daya tertentu antar aplikasi. Namun, banyak situs web mulai menyesuaikan OAuth untuk digunakan sebagai mekanisme autentikasi. Untuk mencapai hal ini, mereka biasanya meminta akses baca ke beberapa data pengguna dasar dan, jika mereka

 OAuth grant types What is an OAuth grant type? Jenis pemberian OAuth menentukan urutan langkah yang tepat yang terlibat dalam proses OAuth. Jenis pemberian juga memengaruhi cara aplikasi klien berkomunikasi dengan layanan OAuth di setiap tahap, termasuk cara pengiriman token akses itu sendiri. Karena alasan ini, jenis hibah sering disebut sebagai "aliran OAuth". Layanan OAuth harus dikonfigurasi untuk mendukung jenis hibah tertentu sebelum aplikasi klien dapat memulai aliran yang sesuai. Aplikasi klien menentukan jenis hibah yang ingin digunakan dalam permintaan otorisasi awal yang dikirimkan ke layanan OAuth. Ada beberapa jenis hibah yang berbeda, masing-masing dengan tingkat kerumitan dan pertimbangan keamanan yang berbeda-beda. Kami akan fokus pada jenis hibah "kode otorisasi" dan "implisit" karena ini adalah yang paling umum. OAuth scopes Untuk jenis pemberian OAuth apa pun, aplikasi klien harus menentukan data mana yang ingin diakses dan jenis opera