SSRF → 169.254.169.254 → временный IAM-токен → S3 с дампом. Казалось бы, учебник, но автор говорит: это случилось у них на staging и почти стоило компании утечки в проде.
💬История от подписчика:
Мы нашли баг в одном вспомогательном эндпоинте — он принимал URL и делал fetch. На staging никто не думал, что это опасно. Во время теста security-команда пробросила SSRF и получила ответ от 169.254.169.254 с временным токеном роли инстанса. С этим токеном легко списали объекты из S3-бакета, где лежали конфиги и бэкапы DB. К счастью, это был staging, но в логах были следы запросов с IP внешнего сканера — ясно, что в проде сценарий бы сработал так же. Мы закрыли эндпоинт, обязали IMDSv2 и запретили роль инстанса для приложений, которые её не требуют — но урок горький.
🖍Пишите, что реально внедрили в проде и какие trade-offs получили: чего оказалось слишком много для девопсов, а что спасало в реальных атаках. Примеры правил, сигнатур и автоматизации приветствуются.
SSRF → 169.254.169.254 → временный IAM-токен → S3 с дампом. Казалось бы, учебник, но автор говорит: это случилось у них на staging и почти стоило компании утечки в проде.
💬История от подписчика:
Мы нашли баг в одном вспомогательном эндпоинте — он принимал URL и делал fetch. На staging никто не думал, что это опасно. Во время теста security-команда пробросила SSRF и получила ответ от 169.254.169.254 с временным токеном роли инстанса. С этим токеном легко списали объекты из S3-бакета, где лежали конфиги и бэкапы DB. К счастью, это был staging, но в логах были следы запросов с IP внешнего сканера — ясно, что в проде сценарий бы сработал так же. Мы закрыли эндпоинт, обязали IMDSv2 и запретили роль инстанса для приложений, которые её не требуют — но урок горький.
🖍Пишите, что реально внедрили в проде и какие trade-offs получили: чего оказалось слишком много для девопсов, а что спасало в реальных атаках. Примеры правил, сигнатур и автоматизации приветствуются.
There have been several contributions to the group with members posting voice notes of screaming, yelling, groaning, and wailing in different rhythms and pitches. Calling out the “degenerate” community or the crypto obsessives that engage in high-risk trading, Co-founder of NFT renting protocol Rentable World emiliano.eth shared this group on his Twitter. He wrote: “hey degen, are you stressed? Just let it out all out. Voice only tg channel for screaming”. Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” bank east asia october 20 kowloon Activate up to 20 bots Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel.
from us
