Jeżeli jesteś #programista15k…

Jeżeli jesteś #programista15k i używasz #aws to wiesz jak wiele usług jest tam dostępnych. #od0dopentestera
Gdy serwer EC2 musi mieć dostęp do S3 – gdzieś należy przechowywać klucze API.
Zamiast wpisywać je na sztywno do kodu aplikacji – stosuje się EC2 Instance Metadata Service.
Problem pojawia się, gdy użytkownik może podać adres domeny, z której pobieramy i wyświetlamy treść.
W taki sposób może pobrać dane z Metadata Service.
Taki atak nazywamy Server Side Request Forgery.
Aby mu zapobiec konieczne jest filtrowanie danych od użytkownika.

Ale nie każdy o tym wie – stąd nowe rozwiązanie od Amazona – IMDSv2.
W typowej podatności SSRF atakujący kontroluje adres ale nie kontroluje metody, którą jest on pobierany.
Stąd piersza zmiana – żądanie musi być wysłane przy użyciu metody PUT.
Dodatkowo musi również zawierać nagłówek, w którym określamy czas życia tokenu.
Zwrócony ciąg jest naszym kodem, który dołączamy do kolejnych żądań.

Można to porównać do logowania i ciasteczek.
Najpierw serwer sprawdza, czy posiadamy odpowiednie uprawnienia.
W tym wypadku czy możemy używać metody PUT oraz dodawać dodatkowe nagłówki.
Jeżeli tak, zwraca nam token.
Teraz każde kolejne żądanie musi go zawierać – dzięki temu Amazon wie, że nie jesteśmy atakującymi.

Czy zatem to rozwiązanie to rewolucja?
Niekoniecznie. Po pierwsze nie rozwiązuje całkowicie problemu SSRF.
Atakujący, który może wykonać dowolny kod na serwerze, obejdzie to zabezpieczenie.
Po drugie, standardowo działają obie wersje.
Dla zapewnienia bezpieczeństwa konieczne jest przepisanie aplikacji na wersję drugą i wyłączenie obsługi IMDSv1.

Cały materiał znajdziesz na:
– Blogu w formie tekstowej
– Youtube (sygnatury czasowe w opisie pod filmem),
– Spotify,
– Google Podcasts,
– Apple Podcasts,
– Anchor.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #security