<div dir="ltr">You could categorise it as 'Injection' as the issue can be remediated with proper input sanitisation/validation, and you're "injecting" into the backend HTTP client.<div><br></div><div>It could also maybe be catagorised as a Security Misconfiguration as you could argue that the backend HTTP client should be configured to not permit requests to internal hosts. But maybe in some circumstances this is required behaviour (a feature).</div><div><br></div><div>I'm not sure how SSRF relates to CSRF but there may be ignorant on some aspects.</div><div><br></div><div>Personally, I would catagoreise the issues as an Injection issue, but happy to be persuaded otherwise :)</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 28, 2016 at 2:49 PM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I suspect that SSRF on its own wouldn't make the list, but it does make sense to me to include it as a new variant of CSRF. I plan to raise some awareness of SSRF in this manner in the new Top 10. Thanks for your note.<div><br></div><div>-Dave</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Fri, Oct 28, 2016 at 5:18 AM, Ziyahan ALBENiZ <span dir="ltr"><<a href="mailto:ziyahanalbeniz@gmail.com" target="_blank">ziyahanalbeniz@gmail.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div>Hi there,</div><div><br></div><div>Now I am working on SSRF now  and I've wanted to consult you about that, what do you think about classification of SSRF? If you were a one who tries to put SSRF a place in Top 10 list, which one would be your preference?</div><div><br></div><div>Unvalidated Redirect and Forward sometimes sounds suitable. But I am with the Missing Function Level Access.</div><div><br></div><div>Thanks in advance.</div><span class="m_3389768466716475136HOEnZb"><font color="#888888"><span class="m_3389768466716475136m_2997495535919291017HOEnZb"><font color="#888888"><div><br></div></font></span></font></span></div></div><span class="m_3389768466716475136HOEnZb"><font color="#888888">-- <br><div class="m_3389768466716475136m_2997495535919291017gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Ziyahan Albeniz <div>Bilgisayar Programcısı / Computer Programmer / Komputila Programisto<br><br><b>GSM :</b> <a href="tel:%2B90%20533%20637%201572" value="+905336371572" target="_blank">+90 533 637 1572</a><br><b>Skype :</b> ziyahanalbeniz<br><b>Web    : </b><a href="http://ziyahanalbeniz.blogspot.com" target="_blank">http://ziyahanalbeniz.blogsp<wbr>ot.com</a></div><div><b>Twitter</b>: <a href="https://twitter.com/ziyaxanalbeniz" target="_blank">@ziyaxanalbeniz</a></div><div><b>LinkedIn :</b> <a href="http://www.linkedin.com/in/ziyahanalbeniz" target="_blank">http://www.linkedin.com/in/z<wbr>iyahanalbeniz</a></div><div><b style="font-size:12.8px">PGP</b><span style="font-size:12.8px"> :  0xA6A34AFD   / <a href="https://keybase.io/ziyahan" target="_blank">https://keybase.io/ziyahan</a></span><br></div><div><br></div><div><div><br></div></div></div></div></div></div></div></div></div></div></div></div>
</font></span></div>
<br></div></div>______________________________<wbr>_________________<br>
Owasp-topten mailing list<br>
<a href="mailto:Owasp-topten@lists.owasp.org" target="_blank">Owasp-topten@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-topten" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-topten</a><br>
<br></blockquote></div><br></div>
<br>______________________________<wbr>_________________<br>
Owasp-topten mailing list<br>
<a href="mailto:Owasp-topten@lists.owasp.org">Owasp-topten@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-topten" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-topten</a><br>
<br></blockquote></div><br></div>