AWSを基盤とするSaaS企業が、「サーバーサイドリクエストフォージェリ」(SSRF)によるテロ攻撃を受けました。
攻撃者はAWSのキーを入手し、1,000ドルの報酬を受け取りました。
このツールはWebhookをテストしていましたが、ユーザーが指定した任意のURLにHTTPリクエストを送信してしまう重大な欠陥がありました。
攻撃者はツールのパスワードだけでなく、認証情報も盗み出すことに成功しました。
これにより、攻撃者は15,000ドルの報奨金を獲得しました。
「25日目: クラウド強盗 – 忘れられたWebhookテスターがAWSの鍵を私に与えた方法」 from infosecwriteups.com
security summaryAWSを基盤とするSaaS企業が、「サーバーサイドリクエストフォージェリ」(SSRF)によるテロ攻撃を受けました。
攻撃者はAWSのキーを入手し、1,000ドルの報酬を受け取りました。
このツールはWebhookをテストしていましたが、ユーザーが指定した任意のURLにHTTPリクエストを送信してしまう重大な欠陥がありました。
攻撃者はツールのパスワードだけでなく、認証情報も盗み出すことに成功しました。
これにより、攻撃者は15,000ドルの報奨金を獲得しました。
コメント