検索対象

並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 11 件 / 11件

新着順 人気順

SSRFの検索結果1 - 11 件 / 11件

タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。

SSRFに関するエントリは11件あります。 securityセキュリティtechfeed などが関連タグです。 人気エントリには 『GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - GMO Flatt Security Blog』などがあります。

SSRFの関連エントリー

  • GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - GMO Flatt Security Blog

    はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回の記事ではその脆弱性に関して解説を行います。 なお、本記事で解説している脆弱性はGitHub Bug Bountyプログラムのセーフハーバーに則り行われた脆弱性調査の結果発見され、公開を行う許可を得たものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHubが開発するプロダクトやサービスに脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 GitHub Enterprise Im

      GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - GMO Flatt Security Blog

    • Next.jsのSSRF脆弱性 CVE-2024-34351

      Next.jsでSSRF(=Server Side Request Forgery)の脆弱性が発覚したことが社内で話題になったので、まとめておこうと思います。対象の脆弱性は以下です。 脆弱性の概要 SSRF脆弱性は本来到達できないサーバーに対して、公開されてるサーバーを経由してアクセスすることができてしまう脆弱性です。 今回のNext.jsの脆弱性はhttpヘッダーのHostを書き換えることで、self hostingなNext.jsサーバーから任意のhttpリクエストを送信できてしまうというものです。これは、外部には公開してない内部APIに対するリクエストも可能になるため、SSRF攻撃になりえます。 今回の脆弱性の対象は、以下の条件を満たしている必要があります。 Next.jsをself hostingで運用している Next.jsアプリケーションがServer Actionsを利用して

        Next.jsのSSRF脆弱性 CVE-2024-34351

      • 個人的にGitHub Actionsまわりで気をつけていること | ssrf.dev

        目次ghalint / actionlintに頼る3rd party actionをできるだけ使わないSecretsにKeyを置かないやろうと思っているけど徹底できていないことRequire actions to be pinned to a full-length commit SHAの有効化branch ruleset / push rulesetghalint / actionlintを全リポジトリで回すさいごに 2026年も引き続きGitHub Actionsまわりのセキュリティ(と、それに起因するサプライチェーン攻撃界隈)は盛り上がっていて、気が抜けない。仕事とは別にして、趣味の開発で気をつけていることをさらっと共有してもいいかもな、と思い立ちこの記事を書いている。 正直この手の話題は出尽くしている感もあるし、別に何か目新しいTipsがあるわけではないのだが、仕事は別として個人と

          個人的にGitHub Actionsまわりで気をつけていること | ssrf.dev

        • Microsoft AzureにSSRFの脆弱性が見つかる、対策を

          Orca Securityは2023年1月17日(現地時間)、「How Orca Found SSRF Vulnerabilities in 4 Azure Services」において、Microsoftのクラウドサービス「Microsoft Azure」に重大な脆弱性があると伝えた。 How Orca Found SSRF Vulnerabilities in 4 Azure Services Orca Securityの調査により、 Microsoft Azureで提供されているAzure API Management、Azure Functions、Azure Machine Learning、Azure Digital Twinsの4つのサービスに、サーバーサイドリクエストフォージェリの脆弱性が存在することがわかった。このセキュリティ上の欠陥の主な概要は次のとおり。 Azure F

            Microsoft AzureにSSRFの脆弱性が見つかる、対策を

            • SSRFの関連エントリー

          • Docker+firewalldを使ってSSRF攻撃を防ぐ | PR TIMES 開発者ブログ

            こんにちは、インフラチームテックリードの櫻井です。 今回はDockerとfirewalldを使って内部ネットワークへのアクセスを制限し、SSRF攻撃を防ぐ方法について紹介します。 SSRF攻撃とは SSRF(Server Side Request Forgery)攻撃はWebアプリケーションに対する攻撃の一種で、公開されたサーバーを経由して公開されていない内部ネットワークのサーバーにアクセスする手法です。 SSRFの概略図 具体例 例えば以下のように外部から指定されたURLにcurlでリクエストを行い、その結果を出力するプログラムがあるとします(このプログラムにはXSS脆弱性も含まれていますが今回は割愛します)。 <?php $ch = curl_init(); curl_setopt_array($ch, [ CURLOPT_URL => 'http://' . $_REQUEST['u

            • Obsidianやら何やらを組み合わせたブログをつくりました | ssrf.dev

              目次N度目の正直の新しいブログを立ち上げ裏側記事公開までのフローVault→ブログのrepoの同期ワークフローお悩みポイント所感 N度目の正直の新しいブログを立ち上げ こんにちは、yagihashです。 Obsidianからブログを更新できるようにした — tellme.tokyoを見て「お、それいいじゃん」と思い立ってしばらく経ちまして、ssrf.devを立ち上げました。所要時間はClaude Codeにぶん投げて12時間くらい?ブログはいろいろやってきましたが正直あまり長続きしなくて、何度目かわかりませんが今回こそは長生きして欲しいなーと思っています。 やってること自体はbabarotとほぼ同じなんですが、ガワを作るところからだったりしたのでちょっと時間かかったかなーという感触。とはいえ今回まじで自分でコード1行も書いてないですね。同期用のGitHub AppのPrivate Keyを

                Obsidianやら何やらを組み合わせたブログをつくりました | ssrf.dev

              • SSRF脆弱性等への攻撃リスクを緩和するIMDSv2が、クイックスタートで起動するEC2のデフォルトとなりました | DevelopersIO

                  SSRF脆弱性等への攻撃リスクを緩和するIMDSv2が、クイックスタートで起動するEC2のデフォルトとなりました | DevelopersIO

                • Digging for SSRF in NextJS apps

                  At Assetnote, we encounter sites running NextJS extremely often; in this blog post we will detail some common misconfigurations we find in NextJS websites, along with a vulnerability we found in the framework.

                  • SSRF攻撃により1億件以上の情報漏洩となったCapital One事件はどうして起こったか? - YouTube

                    Server Side Request Forgery(SSRF)は、2021年版にて初めてOWASP Top 10にランクインするなど、比較的最近重要視されている脆弱性・攻撃手法です。このSSRF攻撃の代表的な事例が、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出です。 この動画では、Capital Oneサイトの内部で起こったと推定されるオープンPROXYにおけるSSRF攻撃の様子を再現し、攻撃方法の詳細について解説します。 ※ この動画は、参考URL末尾に紹介した動画の前半を再編集したものになります。より詳細に関心のある方はフル版をご視聴ください。 参考URL: SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記 https://blog.tokumaru.org/2018/12/introduct

                      SSRF攻撃により1億件以上の情報漏洩となったCapital One事件はどうして起こったか? - YouTube

                    • Microsoft resolves four SSRF vulnerabilities in Azure cloud services

                      Microsoft recently fixed a set of Server-Side Request Forgery (SSRF) vulnerabilities in four Azure services (Azure API Management, Azure Functions, Azure Machine Learning, and Azure Digital Twins) reported by Orca Security. These SSRF vulnerabilities were determined to be low risk as they do not allow access to sensitive information or Azure backend services. Once these SSRF vulnerabilities were r

                      • 社内向けサービスでSSRFを起こした話 - セキュアスカイプラス

                        はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サービスを作ったことを書きました。 新卒研修記~Webアプリの開発~ その後、私の新卒研修ではこのサービスについて弊社の主な業務である脆弱性診断を行っていたのですが、そこでSSRFという中々面白い脆弱性が見つかりました。この記事ではSSRFがなぜ引き起こされてしまったのかと、その対策について書いていこうと思います。 SSRFとは SSRF (Server Side Request Forgery)とは、公開サーバの設定不備により、非公開サーバに対して不正にアクセスされる脆弱性です。 通常、直接のアクセスが禁止されているサーバに対して、公開サーバを経由して

                          社内向けサービスでSSRFを起こした話 - セキュアスカイプラス
                        1

                        新着記事

                        はてなブックマーク

                        公式Twitter

                        はてなのサービス

                        • App Storeからダウンロード
                        • Google Playで手に入れよう
                        Copyright © 2005-2026 Hatena. All Rights Reserved.