SSRF Nedir

Türkçesi "sunucu taraflı istek sahteciliği" olan SSRF(Server Side Request Forgery) saldırganın zafiyetli bir web uygulaması adına istek…

Esma Bilir

~2 min read · December 26, 2025 (Updated: December 26, 2025) · Free: Yes

Türkçesi "sunucu taraflı istek sahteciliği" olan SSRF(Server Side Request Forgery) saldırganın zafiyetli bir web uygulaması adına istek gönderebilmesidir. Saldırgan; hedef sunucuya giden istekleri, zafiyetli web uygulamasındaki parametreleri değiştirip isteklerin varış noktalarını manipüle edebilir. Web sunucusunun uzak kaynakları çağırmasına izin verilen domainler ve protokoller denetlenmediği için bu zafiyet ortaya çıkmaktadır.

En basit haliyle uzak bir sunucudan web uygulamasıyla veri almak için yapılan istekte, URL parametresini değiştirerek zararlı bir yönlendirme yapabiliriz. Özellikle mikroservis mimarileri, bulut altyapıları ve harici API entegrasyonları kullanan sistemlerde sıkça görülür.

SSRF Nasıl Ortaya Çıkar?

Web uygulamaları bazı durumlarda:

· Kullanıcıdan URL bilgisini alır,

· Harici bir kaynağa bağlanır,

· Dosya indirir veya veri çeker.

Eğer uygulama, kullanıcının verdiği adresi yeterince denetlemezse, saldırgan bu adresi kendi belirlediği bir hedefe yönlendirir. Uygulama, bu isteği meşru sanarak sunucu üzerinden gönderir.

Buradaki temel problem: Uygulama kiminle konuştuğunu kontrol etmez.

Tehlikeleri Nelerdir?

SSRF açıkları saldırgana şu imkanları verebilir:

· İç ağda yer alan servisleri keşfedebilir,

· Dışarıdan erişilemeyen sistemlere dolaylı erişim sağlayabilir,

· Bulut servislerine ait gizli anahtarların ele geçirilmesi,

· Sunucu üzerinden başka sistemlere saldırı yapılmasını sağlayabilir.

Bu durum, saldırıların kapsamını tek bir uygulamanın çok ötesine taşır.

Gerçek Hayatta Görüldüğü Ortamlar

· Bulut tabanlı sistemler (AWS, Azure…)

· Mikroservis mimarileri

· API tabanlı uygulamaların hepsi

· Dosya işleme servisleri

· URL tabanlı veri çeken uygulamalarda

Özellikle otomasyon ve entegrasyon ağırlıklı sistemlerde SSRF riski yüksektir.

SSRF Neden Zor Fark Edilir?

· İstekler meşru sunucu üzerinden gider

· Loglarda normal trafik gibi görünür.

· Ağ güvenlik cihazları tarafından engellenemeyebilir.

· Uygulama mantığı içinde gizlidir.

Bu nedenle SSRF, sessiz ama yüksek etkili bir güvenlik açığıdır.

Özetle; SSRF bir uygulamanın kendi yetkilerini kötüye kullanmasına neden olan bir güvenlik açığıdır. Saldırgan doğrudan sisteme erişmeden, sunucunun güvenilirliğini kendi lehine kullanır. Bu yönüyle SSRF, modern altyapılarda en kritik risklerden biri olarak kabul edilir.