⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Investigate SSRF

Objetivo

Determinar si funcionalidad de requests server-side puede usarse para alcanzar destinos internos, privilegiados o elegidos por el atacante.

Supuestos

  • la app fetchea URLs, archivos, previews, webhooks o contenido remoto
  • la alcanzabilidad interna puede diferir de la alcanzabilidad pública
  • redirects y representaciones alternativas pueden bypassear validación ingenua

Prerrequisitos

  • una feature que dispare requests server-side
  • capacidad de observar responses, timing o efectos laterales
  • conocimiento de posibles objetivos internos donde sea éticamente apropiado

Pasos de recon

  1. Identificá todas las features que aceptan URLs o recursos remotos.
  2. Observá cómo el servidor normaliza y fetchea destinos.
  3. Notá si sigue redirects, cambios DNS o formatos IP alternativos.

Pasos de exploit / testing

  1. Confirmá capacidad básica de request saliente.
  2. Testeá loopback, rangos privados y objetivos tipo metadata donde esté autorizado.
  3. Observá timing, status codes, fuga de headers o señales indirectas de éxito.
  4. Verificá si redirects bypassean allowlists.
  5. Compará comportamiento para HTTP vs HTTPS y formas domain vs IP directa.

Señales de validación

  • el servidor puede fetchear destinos controlados por atacante
  • objetivos internos o privados producen comportamiento distinguible
  • metadata o paths admin internos son alcanzables
  • la validación de URL bloquea algunas formas pero no alternativas equivalentes

Mitigación

  • restringir destinos de egress con precisión
  • validar y normalizar URLs cuidadosamente
  • evitar fetchers genéricos donde sea posible
  • segmentar redes para que app servers no puedan alcanzar sistemas sensibles casualmente
  • proteger explícitamente el acceso a metadata

Logging / detección

  • requests salientes inusuales desde el app tier
  • requests a loopback, RFC1918 o direcciones tipo metadata
  • intentos de fetch fallidos o repetidos contra objetivos internos

Notas relacionadas

Referencias

  • Testing / Lab: PortSwigger SSRF topic — https://portswigger.net/web-security/ssrf
  • Fundamental: OWASP SSRF Prevention Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.html
  • Investigación / Deep Dive: AWS IMDS docs — https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.