共有
  • 記事へのコメント37

    • 注目コメント
    • 新着コメント
    その他
    hdkINO33
    hdkINO33 “獣医の手紙とともに自宅の住所を投稿していた。”

    2019/08/19 リンク

    その他
    Nyoho
    Nyoho “Capital Oneが利用していたWAFに設定ミスが存在”

    2019/08/18 リンク

    その他
    T-miura
    T-miura ちょ。詳しいな。独自のwafって、apache mod securityって書いてあるがな…。iam role取ったとか、相当詳しい・・

    2019/08/11 リンク

    その他
    igagurimk2
    igagurimk2 自社作成した防御層がむしろ攻撃チャンネルになってしまうというパターン。

    2019/08/09 リンク

    その他
    digitalmatic
    digitalmatic 詳しい!

    2019/08/07 リンク

    その他
    IGA-OS
    IGA-OS クラウドサービスの構築ミスから流出

    2019/08/07 リンク

    その他
    toritori0318
    toritori0318 SSRFなるほど

    2019/08/07 リンク

    その他
    chestnutking
    chestnutking EC2にIAM Role割り当てるとローカルhttp通信でクレデンシャル覗けてしまう件、仕組み上仕方ないのかもしれないけど、ものすごく邪悪な感じがする。内部犯に覗かれたら、APIの実行元制限してない限りアウトでしょこれ。

    2019/08/06 リンク

    その他
    june29
    june29 女すごい。

    2019/08/06 リンク

    その他
    diveintounlimit
    diveintounlimit 確かに犯人めっちゃ脇甘いな

    2019/08/06 リンク

    その他
    koyhoge
    koyhoge SSRFによってEC2のインスタンスメタデータにアクセス。そこにあった認証情報でS3上のデータを奪取したと。S3側でどういう権限設定をして、どういう認証情報をメタデータに入れていたんだろうか?

    2019/08/06 リンク

    その他
    z1h4784
    z1h4784 EC2のメタデータ取得機能は廃止してほしい。あんなのリスクでしかないでしょうよ

    2019/08/06 リンク

    その他
    stealthinu
    stealthinu わかりやすいまとめ。ファイル名みると被害はCapital Oneだけじゃない感じ?あと内部犯行というのとはちょっとニュアンス違う感じな気がしたがどうなんだろ?

    2019/08/06 リンク

    その他
    hiby
    hiby バレかた(逮捕までの経緯)が凄いな。

    2019/08/06 リンク

    その他
    shoh8
    shoh8 めっちゃ詳しくて驚く。さすが

    2019/08/06 リンク

    その他
    sho
    sho SSRFを使った犯罪を説明するのに良い事例。そもそもこの犯人、ずいぶん脇が甘いなぁ。OSINTの解説としても良さそう。

    2019/08/06 リンク

    その他
    masatomo-m
    masatomo-m SSRFはSSRとかも攻撃の温床になりうるので、フロントエンジニアも他人事じゃないと思ってほしいところではある

    2019/08/06 リンク

    その他
    JULY
    JULY メタデータの取得後に、実際に S3 からデータを抜くところがぼんやりだったんだけど、メタデータにロールの一時キー、トークンが取得できるから、インスタンス外からでもそのロールを利用できる、かぁ。

    2019/08/06 リンク

    その他
    like_futsal
    like_futsal Security

    2019/08/06 リンク

    その他
    Derabon
    Derabon WAFを通してのリクエストからS3(AWS)の認証情報が抜けちゃう脆弱性があったって事?

    2019/08/06 リンク

    その他
    mag4n
    mag4n よくわかるまとめ

    2019/08/06 リンク

    その他
    igrep
    igrep SSRF知らなかった

    2019/08/06 リンク

    その他
    Ashburton
    Ashburton AWSのガイドにはメタデータに認証情報を保存しないでくださいって書いてるのに、無視して保存してたってこと?金融機関がそんな杜撰な管理してるものなの???

    2019/08/06 リンク

    その他
    egapool
    egapool EC2インスタンスメタデータへのルーティングを制限するか、S3へのアクセスをそもそもプライベートサブネットに制限していれば防げたということかな?制限できない要件があったんでしょうけど。

    2019/08/06 リンク

    その他
    Akaza
    Akaza WAFの設定ミスで任意のホストにリクエストを中継する状態になっていたケース。

    2019/08/06 リンク

    その他
    newnakashima
    newnakashima IAMロールはIAMユーザーのアクセスキーベタ書きよりも安全と言われているけどこういうケースだとサーバーに入らなくても認証情報とれちゃうんだよね。

    2019/08/06 リンク

    その他
    ya--mada
    ya--mada 内部ホスト名かインスタンス名かipが分からないとって意味で内部犯ゆわれてるの?mod securityが踏み台になったんか。

    2019/08/06 リンク

    その他
    naglfar
    naglfar “女はSNS(Twitter)に頻繁にペットの猫の写真をアップロードしていた。”、この情報はなぜ含まれているんだろう。

    2019/08/06 リンク

    その他
    tettekete37564
    tettekete37564 “Server Side Request Forgery”

    2019/08/06 リンク

    その他
    teppeis
    teppeis SSRFでEC2のメタデータから認証情報を取得しS3へアクセス

    2019/08/06 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog

    2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表し...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事