前言
在《浅谈云上攻防——元数据服务带来的
安全挑战》一文中,生动形象的为我们讲述了元数据服务所面临的一系列
安全问题,而其中的问题之一就是通过
SSRF去攻击元数据服务;文中列举了2019年美国第一资本投资国际集团(Capital One Financial Corp.,下“Capital One公司”)信息泄漏的案例;我们内部也监测到过类似的事件:测试人员通过
SSRF
漏洞攻击元数据服务,并将获取到的AK信息存储到日志服务中,然后在日志服务中获取到了AK信息,最终通过获取到的AK信息控制了超过200台服务器。
