Catatan Editorial: Posisi SSRF di Edisi 2025
Di edisi OWASP Top 10:2021, SSRF masuk sebagai entri baru di posisi #10 — didorong bukan oleh data CVE historis melainkan oleh survei komunitas yang mengidentifikasinya sebagai ancaman yang sedang naik signifikan.
Di edisi 2025, SSRF diserap ke dalam A01 (Broken Access Control) — keputusan yang mencerminkan pemahaman bahwa SSRF pada dasarnya adalah masalah kontrol akses: server membuat request atas nama penyerang ke resource yang seharusnya tidak dapat diakses langsung dari internet. Penyatuan ini secara konseptual tepat namun tidak mengurangi bahayanya.
SSRF tetap mendapat artikel tersendiri dalam seri ini karena pola serangan, teknik eksploitasi, dan mitigasinya cukup distinct untuk dipahami secara mendalam — terutama dalam konteks cloud modern di mana dampaknya bisa sangat destruktif.
Apa itu Server-Side Request Forgery?
Server-Side Request Forgery (SSRF) adalah kerentanan di mana penyerang dapat memaksa server aplikasi untuk membuat HTTP request ke tujuan yang ditentukan oleh penyerang — baik ke internal network, cloud metadata service, atau sumber daya lain yang seharusnya tidak dapat diakses dari internet.
Kata kunci adalah "atas nama server". Penyerang tidak mengakses target secara langsung — mereka memanfaatkan server sebagai proxy tidak sah untuk mengakses resource di balik firewall yang seharusnya tidak dapat dijangkau dari luar.
Serangan normal (langsung):
Penyerang → [FIREWALL MEMBLOKIR] → Internal Resource
Serangan SSRF:
Penyerang → Server Aplikasi → [Firewall Mengizinkan] → Internal Resource
(manipulasi URL input)
Dalam bahasa bisnis: ini adalah kondisi di mana penyerang dapat menggunakan server Anda sebagai agen untuk mengakses sistem internal, metadata cloud, layanan lain dalam jaringan, atau bahkan menyerang pihak ketiga — semua menggunakan identitas dan kepercayaan yang dimiliki server Anda.
Mengapa SSRF Berbahaya di Era Cloud?
SSRF bukan ancaman baru — ia sudah dikenal sejak lama. Namun relevansinya melonjak drastis seiring adopsi cloud karena satu fitur yang ada di semua cloud provider:
Cloud Instance Metadata Service (IMDS)
Setiap instance cloud (AWS EC2, Azure VM, GCP Compute Engine) memiliki endpoint metadata internal yang dapat diakses hanya dari dalam instance tersebut: