SSRF攻撃により1億件以上の情報漏洩となったCapital One事件はどうして起こったか?

Server Side Request Forgery(SSRF)は、2021年版にて初めてOWASP Top 10にランクインするなど、比較的最近重要視されている脆弱性・攻撃手法です。このSSRF攻撃の代表的な事例が、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出です。 この動画では、Capital Oneサイトの内部で起こったと推定されるオープンPROXYにおけるSSRF攻撃の様子を再現し、攻撃方法の詳細について解説します。 ※ この動画は、参考URL末尾に紹介した動画の前半を再編集したものになります。より詳細に関心のある方はフル版をご視聴ください。 参考URL: SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記 https://blog.tokumaru.org/2018/12/int... SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog https://piyolog.hatenadiary.jp/entry/... mod_proxy - Apache HTTP サーバ バージョン 2.4 https://httpd.apache.org/docs/2.4/ja/... SSRF対策としてAmazonから発表されたIMDSv2の効果と限界 - 徳丸浩の日記 https://blog.tokumaru.org/2019/12/def... 【今回の動画の元ネタ：フル版】 SSRF 対策としてAmazonから発表された IMDSv2 の効果と破り方 - YouTube    • Video   ------------ ■EG セキュアソリューションズ株式会社 　https://www.eg-secure.co.jp/​ ■セミナー情報 　https://www.eg-secure.co.jp/seminar/​ ■お仕事の依頼はこちらから 　https://www.eg-secure.co.jp/contact/​ ------------