Server Side Rquest Forgery är nummer 10 på OWASP top 10. Genom att utnyttja ovaliderad url-indata får du en betrodd endpoint att hämta saker åt dig som det inte är meningen att du ska se, alternativt utföra något farligt.
I våras visade Davis denna filmhttps://www.youtube.com/watch?v=Uklsk1WZ2EU på Brown Bag Lunch som redogör för en attack riktad mot GitLab (egentligen Grafana) med inte mindre än 4 redirects.
Rhynorater fick $12.000 för bedriften och write-up återfinns här.
Under BBL-visningen framfördes många kreativa förslag förutom standardförfaranden på hur man bör täppa igen hålen. @camitz har försökt efterlikna attacken i syfte att implementera motåtgärder. Detta är det repot.
Först ska vi lägga upp alla 5 värdar på AWS för att ha något att jobba mot. Det är planen för labb 1 på fredag, den 8 september, kl 13.
Värdarna är skrivna med Minimal API (jmf controller based apu).
Att lägga upp dem på AWS kan man göra på minst en miljard sätt. Sätt er i lag och gör som ni brukar eller lär er något som ni inte kunde innan!
Det är egentligen fritt fram men jag föreslår serverless, mer specifikt AWS Lambda. Eftersom det är C# finns det några olika varianter. Minimal APIs rakt upp i en Zip, varför inte kompilerat med NativeAOT eller med det nya fräscha .Net Lambda Annotations Framework.
För att koppla på publika endpoints kan man t ex lägga upp en API Gateway, eller så finns Lambda Function URLs. Utmaning: både Function URLs och Annotations Framework!
Vad ska man använda för själva deployen? AWS SAM verkar fungera bra men även dotnet lambda tools.
Kika i Route53. Där finns lite domäner som är fritt fram att använda.
Och för själva deployen, utnyttja Visual Studio, Rider eller VSCode, vad ni kommer över. Eller bygg med CDK. Jag har redan börjat. Bygg en pipeline. Go wild!
- https://zied-ben-tahar.medium.com/aws-lambda-function-urls-with-net-6-minimal-api-727b6d2087a5
- https://aws.amazon.com/blogs/developer/net-lambda-annotations-framework/
- James Eastman: https://youtu.be/Tx4qxNV4rqY?si=NvF_lwSaSTsLqoVi och https://youtu.be/ZtXWIKrZSMQ?si=lLaaHF7RamNPAO8j
Alla de som anmäls genom Henrik/Grönis kommer jag bjuda in till repot och mitt AWS-konto. Alternativt kan vi skriva till mig på Slack.