SSRF
SSRF : callbacks vers hôtes internes / métadonnées.
Criticité
Élevé
Début
dimanche 1 février 2026 à 09:00:00 UTC
Fin
dimanche 1 février 2026 à 09:02:00 UTC
Analyse détaillée
Récit — 09:00–09:02 UTC : 203.0.113.99 tente d’atteindre des cibles internes (ex. métadonnées cloud via 169.254.169.254). SSRF : risque d’accès au plan de contrôle interne ; isoler le service, valider les URL de callback, filtrer les schémas.
Remédiation proposée
1) Refuser les schémas non HTTP(S) et les cibles link-local. 2) Proxy HTTP interne avec liste blanche. 3) Isoler le workload en réseau. 4) Bloquer 203.0.113.99 et auditer les appels sortants de l’appli.
Détail modèle — détection, confiance, justification
Scénario / corrélation
ssrf
Aligné sur ssrf.
Niveau de criticité (score)
Élevé
Justification niveau high selon impact et surface (voir incidents agrégés).
Résumé opérationnel (score)
SSRF : callbacks vers hôtes internes / métadonnées.
Résumé dérivé du type d’attaque, des acteurs et des indicateurs clés.
Proposition de remédiation (score)
1) Refuser les schémas non HTTP(S) et les cibles link-local. 2) Proxy HTTP interne avec liste blanche. 3) Isoler le workload en réseau. 4) Bloquer 203.0.113.99 et auditer les appels sortants de l’appli.
Liste blanche d’URL de callback, pas de résolution vers RFC1918/169.254, segmentation réseau du service.
Fenêtre d’agrégation (secondes)
300 s
Constante pipeline.
Type d’attaque
ssrf
Paramètres URL ou corps de requête pointant vers métadonnées / réseaux internes.
Adresses IP sources
203.0.113.99
Origine des requêtes vers URL internes ou magic IPs.
Début de la fenêtre d’attaque
dimanche 1 février 2026 à 09:00:00 UTC
Premier callback vers 169.254.169.254 ou équivalent.
Fin de la fenêtre d’attaque
dimanche 1 février 2026 à 09:02:00 UTC
Dernière tentative SSRF dans la fenêtre.
Indicateurs et signaux
Hôtes de callback (SSRF) : ["169.254.169.254"]
callback_hosts liste les cibles réseau suspectes extraites des preuves.
Jeu de démonstration — format aligné sur l’API modèle