Server Side Request Forgery(SSRF)は、2021年版にて初めてOWASP Top 10にランクインするなど、比較的最近重要視されている脆弱性・攻撃手法です。このSSRF攻撃の代表的な事例が、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出です。
この動画では、Capital Oneサイトの内部で起こったと推定されるオープンPROXYにおけるSSRF攻撃の様子を再現し、攻撃方法の詳細について解説します。
※ この動画は、参考URL末尾に紹介した動画の前半を再編集したものになります。より詳細に関心のある方はフル版をご視聴ください。
参考URL:
SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記
https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
https://piyolog.hatenadiary.jp/entry/2019/08/06/062154
mod_proxy - Apache HTTP サーバ バージョン 2.4
https://httpd.apache.org/docs/2.4/ja/mod/mod_proxy.html
SSRF対策としてAmazonから発表されたIMDSv2の効果と限界 - 徳丸浩の日記
https://blog.tokumaru.org/2019/12/defense-ssrf-amazon-ec2-imdsv2.html
【今回の動画の元ネタ:フル版】
SSRF 対策としてAmazonから発表された IMDSv2 の効果と破り方 - YouTube
https://www.youtube.com/watch?v=2_ojaEpf1qs
------------
■EG セキュアソリューションズ株式会社
https://www.eg-secure.co.jp/
■セミナー情報
https://www.eg-secure.co.jp/seminar/
■お仕事の依頼はこちらから
https://www.eg-secure.co.jp/contact/
------------