☁️ Метаданные под прицелом

SSRF → 169.254.169.254 → временный IAM-токен → S3 с дампом. Казалось бы, учебник, но автор говорит: это случилось у них на staging и почти стоило компании утечки в проде.

💬 История от подписчика:

Мы нашли баг в одном вспомогательном эндпоинте — он принимал URL и делал fetch. На staging никто не думал, что это опасно. Во время теста security-команда пробросила SSRF и получила ответ от 169.254.169.254 с временным токеном роли инстанса. С этим токеном легко списали объекты из S3-бакета, где лежали конфиги и бэкапы DB. К счастью, это был staging, но в логах были следы запросов с IP внешнего сканера — ясно, что в проде сценарий бы сработал так же. Мы закрыли эндпоинт, обязали IMDSv2 и запретили роль инстанса для приложений, которые её не требуют — но урок горький.

🖍 Пишите, что реально внедрили в проде и какие trade-offs получили: чего оказалось слишком много для девопсов, а что спасало в реальных атаках. Примеры правил, сигнатур и автоматизации приветствуются.

🐸 Библиотека хакера

#ask_the_community