SSRF (Server-Side Request Forgery) Nedir?
Mart 22, 2026
Server-Side Request Forgery (SSRF) Senaryoları
Web uygulamaları çoğu zaman “dışarıdan veri çekme” ihtiyacı duyar: bir URL’nin önizlemesini üretmek, dosya indirmek, webhook çağırmak, üçüncü parti API’lerden veri almak veya kullanıcı tarafından verilen bir bağlantıyı doğrulamak gibi. Bu tip özelliklerde uygulama, istemci yerine sunucu tarafında istek gönderir. SSRF (Server-Side Request Forgery) zafiyeti de tam burada ortaya çıkar: saldırgan, sunucunun yaptığı bu isteği kendi istediği hedefe yönlendirebilir.
SSRF’in tehlikesi, hedefin çoğu zaman dışarıdan erişilemeyen iç ağ servisleri veya bulut sağlayıcılarının özel uçları olmasıdır. Yani sorun yalnızca “sunucu bir yere istek attı” değil; sunucunun bulunduğu ağ konumunun ve sahip olduğu kimliklerin saldırgan tarafından dolaylı şekilde kullanılabilmesidir.
SSRF Nedir?
SSRF, uygulamanın sunucu tarafında yaptığı HTTP/HTTPS gibi isteklerin hedefini saldırganın kontrol edebilmesiyle oluşan bir güvenlik açığıdır. Zafiyet genellikle uygulamanın bir URL parametresini, yönlendirmeyi (redirect), dosya indirme özelliğini veya entegrasyon çağrısını yeterince doğrulamadan kullanmasıyla tetiklenir.
SSRF iki ana biçimde ele alınır: * Blind SSRF: Yanıt doğrudan saldırgana dönmez, ancak sunucunun isteği attığı log, zamanlama veya dış servis gözlemi gibi yan etkiler üzerinden anlaşılır.
Non-blind (Reflected) SSRF: Sunucunun aldığı yanıt, uygulama çıktısında doğrudan saldırgana yansır. Bu durumda iç ağ keşfi ve veri çekme çok daha kolaydır.
Yaygın SSRF Senaryoları
SSRF vakaları çoğu zaman benzer işlevlerin etrafında tekrar eder:
URL Önizleme / Link Preview Özellikleri: Uygulama, URL’nin başlığını veya görselini çekmek için sunucudan istek gönderir. Doğrulama zayıfsa, iç ağdaki yönetim panelleri hedeflenebilir.
Webhook ve Entegrasyon Çağrıları: Uygulama, belirli olaylarda dış servislere webhook gönderir. Adres manipüle edilebiliyorsa sunucu saldırgan için bir “aracı” (proxy) hâline gelir.
Dosya İndirme / Import Fonksiyonları: “Bu URL’den dosyayı indir ve işle” özellikleri klasik giriş noktalarıdır. Hedef kısıtları yoksa iç ağ servislerine dosya okuma isteği gönderilebilir.
Open Redirect Zincirleri: İzin verilen bir alan adının başka bir yere yönlendirme yapması SSRF’i dolaylı olarak genişletebilir.
Bulut Ortamı Özel Uçları (Cloud Metadata): Bulut sağlayıcılarının sunduğu instance metadata servislerine (Ör:
169.254.169.254) erişilerek geçici kimlik bilgileri ve sistem detayları çalınabilir.
Etkiler ve Risk
SSRF’in etkisi, uygulamanın ağ konumu ve sahip olduğu yetkilerle doğrudan ilişkilidir:
İç Ağ Keşfi: Dışarıdan görünmeyen servislerin (port tarama vb.) tespiti.
Hassas Servislere Erişim: Veritabanı arayüzleri, dahili API’ler veya yönetim panellerine temas.
Kimlik Bilgisi Sızıntısı: Bulut kimlikleri veya servis token’larının dolaylı erişime konu olması.
Zincirleme Saldırılar: SSRF’in diğer zayıf yapılandırmalarla birleşerek veri sızıntısına yol açması.
Önleme ve Güvenli Tasarım Adımları
SSRF riskini azaltmak için sunucunun istek atabileceği hedefleri sistematik olarak sınırlamak gerekir:
Allowlist Yaklaşımı: Kullanıcıya serbest URL vermek yerine, sadece izin verilmiş sabit servis listesinden seçim yapmasını sağlayın.
URL Ayrıştırma ve Doğrulama: Şema (http/https), port ve IP aralıklarını doğrulayın. Özel ağ aralıklarına (10.x.x.x, 192.168.x.x vb.) ve localhost‘a erişimi kesinlikle engelleyin.
Yönlendirme (Redirect) Kontrolü: HTTP 3xx yönlendirmelerini takip etmeyi kapatın veya final hedefi tekrar doğrulamadan işlemi tamamlamayın.
Ağ Katmanı Kontrolleri: Egress Firewall veya NetworkPolicy ile uygulamanın sadece gerekli dış adreslere gitmesini zorunlu kılın.
DNS Rebinding Koruması: DNS çözümlemesi ile bağlantı anındaki IP’nin tutarlı olduğunu doğrulayan mekanizmalar kullanın.
Gözlemleme: Sunucunun dışarı giden (outbound) tüm isteklerini loglayın ve anormal trafik modellerini alarmlayın.
Özetle SSRF, yalnızca uygulama koduyla değil; DNS yönetimi, ağ politikası ve güvenli mimari tasarımıyla birlikte ele alındığında etkili şekilde yönetilebilir.