SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例
電気が送電されました!万歳!! 9/8が誕生日なのでお待ちしております。 http://amzn.asia/azuF53V 先日、以下のような記事を見た。 EC2上のAWS CLIで使われている169.254について EC2では、インスタンス内から http://169.254.169.254/ にアクセスすると、そのインスタンスに関する情報が取得できるようになっている。 そのため、SSRF脆弱性が存在し、レスポンスをユーザーに表示しているような場合には、http://169.254.169.254/latest/meta-data/iam/security-credentials/ にアクセスされることで、AWSのクレデンシャルを不正に取得される。 SSRFについてはここでは解説しない。以下の記事などを参照してほしい。 What is Server Side Request Forger
AWS、SQL互換の新問い合わせ言語「PartiQL」をオープンソースで公開。RDB、KVS、JSON、CSVなどをまとめて検索可能
Amazon Web Services(以下AWS)は、SQL互換の新しい問い合わせ言語およびそのリファレンス実装である「PartiQL」をオープンソースとして公開したことを発表しました。 PartiQLはSQL互換の構文に最小限の拡張を施すことで、リレーショナル形式のデータベースだけでなく、KVSやJSONなどを含むNoSQLデータベースやCSVファイルなど、さまざまなデータソースに対して横断的に検索できる問い合わせ言語およびそのリファレンス実装です。 下記はPartiQLを発表したブログからの引用です。 Today we are happy to announce PartiQL, a SQL-compatible query language that makes it easy to efficiently query data, regardless of where or in
7payは不正利用報告をクレーマーのようにとらえているのでは? - アンカテ
7payの撤退の会見について、その素早い損切りの決断を大局的な損害の極小化という意味で評価する意見をいくつか目にした。同意できる部分もあるが、不正利用の原因をリスト攻撃だと強弁するところなど、どうにも違和感を感じる部分も多い。この違和感は、エンジニアの多くが感じているもののようだが、それは最後まで解消されないまま終わりそうだ。 これについて、「7payの関係者の多くは不正利用の報告をクレーマーに対応する方法論で処理している」と考えると説明しやすいのではないかと思った。 新しい商品やサービスに対して、消費者から多くのクレームが同時に上がったら、無視していいものではない。むしろ、改良のための貴重な情報源として生かすべきだ。そのためには、クレームを分類して、同じような指摘が多く上がっているところから、対応していく。ここまでは、クレーム処理も不正利用報告も同じだろう。 不正利用の被害を分析していく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
