Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱(ぜいじゃく)性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。 AWS ALBの認証機能に隠れた脆弱性「ALBeast」 ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。 ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情
AWS ALBをSSLの終端にしたときに Strict Transport Security ヘッダーが付与されない
現在クラウドリフトの作業をしていて、ECS(またはEC2)の前段にALBを配置し、ALBをSSLの終端としている。 これはAWSでパブリックなアプリケーションを作成する際によく取られる構成だが、HTTP Strict Transport Security(HSTS)は仕様上HTTPSの経路でのみレスポンスに付与される。 この仕様により、ALBをSSLの終端に設定するとレスポンスにHSTSが付与されない。 この問題を解決するためにはECSに乗せているアプリケーション上で、ALBに到達した際のプロトコルを見るように修正する必要があり、その元のプロトコルがX-Forwarded-Proto (XFP) に入ってくる。 この対応を行う上で調べた内容をメモしておく。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS ALBに脆弱性 1万5000以上のアプリケーションに影響