Dockerのiptablesを有効にしたままSSRF対策をするには - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。 動機としてはタイトルに書いた通りSSRF対策を目的としています。 特に内部ネットワーク宛の攻撃を想定し、Dockerコンテナからの private network 宛のoutboundを禁止したい。 でもDockerホスト側ではメールGWなど一部内部NW上のサーバへのoutboundは許可する必要があるので、Dockerコンテナだけに限定したoutboundルールを設定したい・・・そんな状況に対応するにはどうするか調べてみた次第です。 結論から書くと Docker Engine 公式ドキュメントで解説されているとおり
Docker+firewalldを使ってSSRF攻撃を防ぐ | PR TIMES 開発者ブログ
こんにちは、インフラチームテックリードの櫻井です。 今回はDockerとfirewalldを使って内部ネットワークへのアクセスを制限し、SSRF攻撃を防ぐ方法について紹介します。 SSRF攻撃とは SSRF(Server Side Request Forgery)攻撃はWebアプリケーションに対する攻撃の一種で、公開されたサーバーを経由して公開されていない内部ネットワークのサーバーにアクセスする手法です。 SSRFの概略図 具体例 例えば以下のように外部から指定されたURLにcurlでリクエストを行い、その結果を出力するプログラムがあるとします(このプログラムにはXSS脆弱性も含まれていますが今回は割愛します)。 <?php $ch = curl_init(); curl_setopt_array($ch, [ CURLOPT_URL => 'http://' . $_REQUEST['u
URL の取り扱いには要注意! SSRF の攻撃と対策 | yamory Blog
SSRF は外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。本記事では SSRF が起きる原因と、脆弱性の影響について攻撃シナリオをベースに説明していきます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
