AWS User Group PL - meetup #02 - ONLINE
1. Powitanie
2. Status check, czyli co obecnie w AWS UG PL
3. Michał Adamkiewicz - Jak przy pomocy ataku SSRF przejąć dane uwierzytalniające do AWS.
5. Q&A
6. KONKURS
ZAPRASZAMY!
Na kolejne spotkanie, tym razem w wersji ONLINE.
Gościem naszego spotkania będzie:
Michał Adamkiewicz - Data Architect w OLX Group.
Od kilku lat w grupie OLX zajmuje się infrastrukturą AWS, korzystając z najbardziej popularnych paradygmatów, takich jak Infrastructure as a Code, Serverless, Immutable resources.
Michał przedstawi metodologię ataku SSRF (Server Side Request Forgery) w celu przejęcia tymczasowych danych uwierzytelniających do AWS. Opierając się o dwa dema pokazujące, w jaki sposób możemy przejąć dostęp do EC2 za pomocą shella używając userdata.
Ponadto zastosujemy w praktyce wstrzykiwania szkodliwego kodu do funkcji Lambda oczywiście bez uprawnień do aktualizacji kodu. Następnie przejdziemy przez kilka przykładów polityk JSON rozwiązujących najpopularniejsze problemy dotyczące uprawnień w AWS.
PROWADZĄCY:
Jarosław Zieliński - AWS Community HERO, LEADER of AWS UG PL, AWS Technical Instructor and Consultant
Łukasz Dorosz - AWS Community HERO, Co-LEADER of AWS UG PL
Do usłyszenia