2019.12.14
SSRF(Server Side Request Forgery)脆弱性に対する弊社サービスの対応強化について
EGセキュアソリューションズ株式会社は、2019年7月29日に米金融企業大手のCapital Oneより発表された個人情報流出事件を受け、SSRF(Server Side Request Forgery)脆弱性に関するサービス強化の実施を決定いたしました。
SSRFは従来からバグバウンティ(脆弱性報奨金制度)の分野などでは注目されており、そのため、弊社代表の徳丸も以下のブログ記事にて昨年12月にSSRFの解説記事を執筆し、警鐘を鳴らしていたところでした。
SSRF(Server Side Request Forgery)徹底入門
https://blog.tokumaru.org/2018/12/introduction-to-ssrf-server-side-request-forgery.html
今回の事例はまさに「恐れられていたことが現実に起こった」ものであり、AWSという日本でも非常に普及している環境で発生したこと、SSRFがまだあまり知られていない脆弱性であることを想定すると、日本で類似の事件が発生することも時間の問題であると考えられます。
対象サービス
・Webアプリケーション脆弱性診断
スタンダード以上の診断プランにおいて、標準項目に含まれていなかった「SSRF脆弱性の検証」を標準項目に追加
・弊社開講講座『徳丸本によるホワイトハッカー入門 応用講座』
「SSRF脆弱性の解説」項目を追加
その他各サービスの強化を予定しております。
News back number
過去のお知らせ一覧
2022.06.20
【6月24日開催】「最新事例から学ぶ!Webセキュリティ対策の基本」に弊社取締役副社長 齊藤 和男が登壇いたします。
2022.06.20
【6月25日開催】『DNS Summer Day 2022』に弊社取締役CTO 徳丸浩が登壇いたします。
Mail magazine
弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。