云元数据 SSRF
云元数据 SSRF 是什么?
云元数据 SSRF一种服务端请求伪造攻击,通过有漏洞的应用让虚拟机查询云厂商的实例元数据服务,窃取临时凭据。
云元数据 SSRF 利用代客户端拉取 URL 的应用,迫使底层虚拟机访问其实例元数据服务(IMDS),地址通常为 169.254.169.254。响应中包含环境数据,尤其是与实例角色绑定的短期 IAM 凭据。2019 年 Capital One 数据泄露事件(归因于 Paige Thompson)正是利用这种技术,通过配置错误的 AWS WAF 获得凭据,并从 S3 下载了超过一亿条客户记录。缓解措施包括强制启用带会话令牌的 IMDSv2、对 169.254.169.254 进行出站过滤、最小化实例角色权限,以及严格的 SSRF 输入校验。
● 示例
- 01
图片缩放接口请求 http://169.254.169.254/latest/meta-data/iam/security-credentials/,窃取角色凭据。
- 02
2019 年 Capital One 事件:针对有漏洞的 WAF 的 SSRF 返回 AWS 密钥,被用于读取 S3 桶。
● 常见问题
云元数据 SSRF 是什么?
一种服务端请求伪造攻击,通过有漏洞的应用让虚拟机查询云厂商的实例元数据服务,窃取临时凭据。 它属于网络安全的 云安全 分类。
云元数据 SSRF 是什么意思?
一种服务端请求伪造攻击,通过有漏洞的应用让虚拟机查询云厂商的实例元数据服务,窃取临时凭据。
云元数据 SSRF 是如何工作的?
云元数据 SSRF 利用代客户端拉取 URL 的应用,迫使底层虚拟机访问其实例元数据服务(IMDS),地址通常为 169.254.169.254。响应中包含环境数据,尤其是与实例角色绑定的短期 IAM 凭据。2019 年 Capital One 数据泄露事件(归因于 Paige Thompson)正是利用这种技术,通过配置错误的 AWS WAF 获得凭据,并从 S3 下载了超过一亿条客户记录。缓解措施包括强制启用带会话令牌的 IMDSv2、对 169.254.169.254 进行出站过滤、最小化实例角色权限,以及严格的 SSRF 输入校验。
如何防御 云元数据 SSRF?
针对 云元数据 SSRF 的防御通常结合技术控制与运营实践,详见上方完整定义。
云元数据 SSRF 还有哪些其他名称?
常见的别称包括: 实例元数据 SSRF, IMDS SSRF。
● 相关术语
- cloud-security№ 079
AWS IMDSv1 攻击
通过向旧版 IMDSv1 端点发送未认证的 GET 请求(通常借助 SSRF)窃取 EC2 实例角色凭据。
- cloud-security№ 190
云端令牌窃取
从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。
- cloud-security№ 183
云端数据外泄
未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。
- cloud-security№ 505
IAM 权限提升
利用现有的云 IAM 权限获取更高权限,常见手段包括修改策略、传递角色或为自身授予管理员权限。
- attacks№ 1008
服务器端请求伪造(SSRF)
一种 Web 漏洞,使攻击者能够诱使服务器代为发起 HTTP 或其他网络请求,通常指向内部系统。
● 参见
- № 211容器逃逸