Что такое SSRF (Server-Side Request Forgery)?

SSRF — заставляем сервер делать HTTP запросы к произвольным URLs, в том числе к внутренним сервисам. Пример: POST /api/fetch-url {"url": "http://169.254.169.254/latest/meta-data/"} → metadata AWS instance. Или к внутренним сервисам: http://internal-admin:8080/. Тестируем: все поля где можно передать URL (webhook URL, image URL, import from URL). Пробуем: localhost, 127.0.0.1, внутренние IP (10.x.x.x, 192.168.x.x), AWS metadata endpoint. Защита: whitelist разрешённых доменов, блокировка внутренних IP.