Next.jsのSSRF脆弱性 CVE-2024-34351

2024/05/18 5 users Next.js SSRF サーバー 脆弱性 本来

Next.jsでSSRF（=Server Side Request Forgery）の脆弱性が発覚したことが社内で話題になったので、まとめておこうと思います。対象の脆弱性は以下です。 脆弱性の概要 SSRF脆弱性は本来到達できないサーバーに対して、公開されてるサーバーを経由してアクセスすることができてしまう脆弱性です。 今回のNext.jsの脆弱性... 続きを読む

iOSやmacOSのソースコード、脆弱性により外部からのアクセスが可能になっていた - iPhone Mania

2020/10/09 30 users iOS iCloud MacOS iPhone Mania

システムの脆弱性により、iOSやmacOSのソースコードが外部に対して「オープン」な状態となっていたことが、セキュリティ研究チームの調査で明らかになりました。 iCloudのSSRF脆弱性を発見 セキュリティ研究者のサム・カリー氏ら5人で構成されるチームはAppleのバグ懸賞プログラムにエントリーし、3カ月間でセキュリティ... 続きを読む

[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました！ ｜ Developers.IO

2019/11/20 49 users アプデ Developers.IO 待望 セキュリティ 臼田

こんにちは、臼田です。 皆さんセキュリティ対策してますか？(挨拶 今回はEC2インスタンスメタデータサービスv2がリリースされたのでこの機能について解説していきます。 Add defense in depth again […] 続きを読む

EC2上でDNS RebindingによるSSRF攻撃可能性を検証した | 徳丸浩の日記

2019/03/04 57 users 徳丸浩 SSRF SSRF攻撃 AWS おさらい

AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生... 続きを読む

SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記

2018/12/05 565 users SSRF GCE 徳丸浩 徹底入門 AWS CLI

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254についてSSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポー... 続きを読む