こんにちは、臼田です。 『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2017に参加していますのでレポートします。 このブログは下記セッションについてのレポートです。 SSRFの新時代 - 有名プログラミング言語内のURLパーサーを攻撃! - オレンジ・サイ - Orange Tsai - レポート SSRFはWebアプリケーションに対する攻撃の概念 10年前ぐらいにみつかっている SSRFは今でも大手サイトであってもよく見られる Orange氏はDEVCOREで脆弱性の研究等を行っている HITCONのメンバー SSRFとは Server Side Request Forgery Firewallを回避してイントラネットに触れることが出来る 大企業にはStruts2等があるがこれらを乗っ取ることができる SSRFを仕込む Py