SSRF: Skrytá brána do vaší interní sítě aneb Jak jsme při pentestu obešli i enterprise WAF ochranu

| 1. 4. 2026
SSRF skrytá brána do vaší interní sítě

Představte si, že váš webový server najednou začne pracovat proti vám. Ne proto, že by ho někdo hacknul zvenčí, ale proto, že ho útočník přesvědčí, aby sám otevřel dveře do vaší interní sítě. Přesně to se nám stalo nedávno při bezpečnostním testu, tzv. pentestu, u klienta s produkčním prostředím.

Objevili jsme klasickou SSRF zranitelnost, která umožnila procházení interních portů, přístup k administrátorským rozhraním i detailní mapování celé vnitřní sítě. A to všechno i přes nasazené enterprise WAF řešení, které patří mezi nejsilnější ochrany na trhu. Žádná magie, jen chytrý trik, který server sám provedl.


Co je SSRF a proč je tak nebezpečná?

Jednoduše řečeno: Server-Side Request Forgery znamená, že aplikace dovolí uživateli (nebo útočníkovi) zadat URL, kterou server sám načte. Místo aby načetl obrázek z internetu, načte třeba interní admin panel na adrese http://192.168.1.50:8080/admin nebo metadata cloudové instance.

Server důvěřuje sám sobě, a přesně toho útočník zneužije. Zvenčí to vypadá jako běžný požadavek, uvnitř ale server cestuje tam, kam by normálně nikdy neměl.


Case study: Bypass WAF a skenování interní sítě

Během testu jsme identifikovali funkčnost, která umožňovala zadávat externí zdroje (například pro stažení dat nebo generování reportů). Stačilo pár úprav URL a najednou:

  • Server nám ochotně proskenoval interní porty (port scanning).
  • Odhalil aktivní administrátorská rozhraní, která nejsou přístupná zvenčí.
  • Začal mapovat celou interní síť, a proto jsme viděli, které služby běží na kterých IP adresách.

A to všechno i přes enterprise WAF. WAF sice blokuje klasické útoky, ale SSRF je „interní“, takže si to dělá sám. Klasický bypass, který vidíme poměrně často.

Rizika úniku dat a hrozba ransomware skrze interní API

Teď si to představte v rukou skutečného útočníka a ne etického hackera:

  • První minuty – útočník zmapuje interní síť a objeví slabá místa, jsou jsou staré admin panely, databáze, interní API.
  • Další krok – přes interní admin rozhraní získá přístup k citlivým datům, API klíčům nebo cloudovým credentialům.
  • Finále – s těmito daty už může:
    • ukrást zákaznická data,
    • nasadit ransomware přímo na interní file servery,
    • zašifrovat klíčové systémy a požadovat výkupné,
    • nebo se jen tiše pohybovat dál a dál po síti.

Viděli jsme to mockrát v reálných incidentech. Jedna SSRF stačí k tomu, aby se z jen webové aplikace stala brána do celé firmy.

Proč firewall a WAF ochrana k zabezpečení nestačí?

Protože mnoho firem spoléhá na máme WAF, máme firewall, jsme v pohodě. My jsme ukázali, že to nestačí. SSRF je jedna z těch zranitelností, které se na první pohled zdají neškodné, ale ve skutečnosti jsou jako Trojský kůň uvnitř vaší infrastruktury.

Fitito penetrační testy

Audit kybernetické bezpečnosti a profesionální penetrační testy od Fitio

Napište nám. Provádíme pravidelné penetrační testy, které odhalují přesně tyto typy zranitelností, a to včetně těch, které enterprise WAF nevidí. Nečekejte, až to někdo zneužije. Radši to objevíme my a opravíme dřív, než se to stane reálným problémem.

Vaše data, vaše síť, vaše klidná mysl. Kontaktujte odborníky z Fitio a domluvme si nezávazný audit.

#KybernetickaBezpecnost #SSRF #pentesting #etickyhacking #fitio

Jsme partnerem firem v oblasti IT bezpečnosti, sítí a cloudových řešení. Chráníme data a pomáháme firmám růst bez starostí o IT.

Služby

Kontakt

+420 724 443 654
info@fitio.cz
LinkedIn

© 2026 Fitio Platform s.r.o.