Security-JAWS DAYS楽しかった話
Security-JAWS DAYSに参加しました。1日目はオンライン、2日目(CTF)は現地参加。
1日目、特に印象に残っている話
Amazon Verified Permissionの話
がぜん使ってみたくなった
ECS on Fargateの話
技術レイヤーに応じた具体的な対策がよくまとまっていた
コンテナセキュリティの本2冊積んでるのを思い出させてくれた
Datadog ASMの話
個人的に気になっていたDatadogのWAF
ソースコードにライブラリとして組み込んで使うみたい 違ったみたい
使い方は難しそうだけど興味深い
検査可能サイズとかレスポンス見られるのかとか、検証してみたい
その他
やはりセキュリティプロダクトは面白い
Snyk
SAST、AIの台頭でめちゃ期待している
Shisho Cloud
Regoでポリシー書けるのはすばらしい
対応サービスもっと増えてほしい
Sysdig
エージェント / エージェントレスの話、テクくてよかった
CNAPPという市場も知れてよかった
2日目のCTF
結果
24位
悔しいポイント
Hard問題
IMDSへのアクセスまでは行ったが、適切な情報を取得できず(後述)時を溶かしまくってしまった
これに時間をかけ過ぎて、他の問題のソースコードや開発者ツールを読み込む精神力が残っていなかった
run function
「ログを見ろ」の意味が分からず、CloudWatch Logsを見に行って時を溶かした
aws lambda invoke に --log-type というオプションがあった(初見)
懇親会参加できなかった
事前申し込み忘れてた
当日飛び込み参加の許可が出たが、家に財布を忘れてきていて会費払えなかった
前日の夜に出かけていて、財布をサコッシュに入れっぱなしにしていた
所定の位置に置いてあるもの(キーケースなど)を行きがけに持っていくだけで、そこに財布が含まれているかとか考えてないということがわかった(???)
学び
クラウドインフラの侵害シチュエーション
参考記事(以下)の通りだった
テポさんがツイートしていた記事
以前ken5scalさんがツイートしていた記事
列挙大事
IAMの列挙たいへん
インラインポリシーかそれ以外かで、サブコマンドが違う
EC2インスタンスのセッショントークン取ったけど……ここからどうする!?となってググってた時にたまたま出くわした
『AWS penetration testing』で言及があって「こういうのがあるんだなあ」で終わってた
列挙の手段
#todo 自身のポリシーをワンパンで列挙する手段を確保する 自身についているポリシーを確認できない場合を想定して、あらゆるリソースをやみくもに列挙する手段がいる(それこそpacuだったり、aws_enum_resource.pyだったり)
IMDS侵害後の動き
使うセッション情報を間違ってた
上っ面の知識で満足していてはいけない
SSRFでIMDSへアクセスできることは知っていた、しかしその先
セッションを乗っ取るときに、JSONの各値をいちいちコピペするの面倒だったので、セッションデータのJSONをコピペしたらいい感じにコマンド出力してくれる krrmp というCLIツールを作ってみた もうあるだろうなこういうの
こういうのはGoとかで書いてバイナリで運用すべきだろうか?(可搬性の観点で
CLIツールよりも、ブラウザだけで使えるHTML + JSのツールのほうが使いやすいかもなと思ったり
フォームにJSONをコピペしたら勝手にコマンドが出てくる的な
次はパーカーほしいし、懇親会も行きたい。なんなら登壇したいが、ネタあるだろうか?