Time Table

Amazon S3等のオブジェクトストレージに関連する多くの設定ミスはツールなどで機械的に発見可能であり、広く知られた脆弱性です。 しかし、あまり知られていない脆弱性も存在しています。例えば、サービス利用料金を膨大にするようなEDoSやオブジェクトのメタデータを書き換えることにより発生するXSS等が挙げられます。これらの脆弱性はアプリケーションの文脈を考慮しなければ発見することが難しく、機械的に見つけ出すことは現時点では難しいセキュリティの課題です。そして、今現在もオブジェクトストレージの課金体系やメタデータの仕様に起因したそれらの脆弱性はあまり認知されていない状況が続いています。 本講演では、オブジェクトストレージの脅威を包括的に紹介し、特に機械的に発見することが難しい脆弱性の影響や対策にフォーカスします。株式会社Flatt Securityでモダンなアプリケーションに対する診断に多数従事したエンジニアがコードを交えて具体的にその脅威・対策を示します。