ENECHANGE Developer Blog

ENECHANGE開発者ブログ

ALB脆弱性の影響と対策

結論

  • サービスがIdpと連携していたとしてもALBが認証プロバイダーと連携してトークンの検証を行っていない場合、ALBeast脆弱性の影響はありません。

    概要

    https://www.miggo.io/resources/uncovering-auth-vulnerability-in-aws-alb-albeast

  • 攻撃者は正規のトークンを模倣した不正に署名されたトークンを生成し、本脆弱性を悪用すると、ALBがこの不正トークンを正しく検証せずに受け入れてしまう。 その結果、Idpとの連携システムであっても発行した正規のトークンがなくても、攻撃者は偽のトークンで認証を通過できる可能性があるため、アクセス制御が回避される恐れがあります。

    対策

  • AWSはALBにおける認証機能を更新済

    付録

  • トークンを偽装されて接続されたとしてもアプリケーション内でもBasic認証やOAuth2.0などの認証を導入していれば悪意のある接続は防げていた
  • そもそもALBで署名を検証できていなかったというのは耳を疑うような欠陥なので、利用料金の一部を返納しろというコメントがサポートに出てるような気もしますね...

JAWS PANKRATION 2024に登壇して得られたもの

VPoTの岩本 (iwamot) です。

8月24日から25日にかけて、AWSタイトルホルダーやAWS内の方が登壇しつづける24時間オンラインイベント「JAWS PANKRATION 2024」が開催されました。

jawspankration2024.jaws-ug.jp

ぼくは24日の23:20 (JST) から「Cost-Effective SLO Error Budget Monitoring with Athena and CloudWatch」のタイトルで登壇しました。

発表した内容については、スライドや、後日公開予定のアーカイブ動画をご覧いただければ幸いです。

今回の記事では、登壇によって得られたものを記してみます。どなたかの登壇意欲に火をつけられたら、と願っています。

続きを読む

「Lambdaレス」な実装例:AWS WAFのIPセット自動更新

VPoTの岩本 (iwamot) です。

この記事では、AWS Lambdaを使わずにサーバーレスな処理を実装する、いわゆる「Lambdaレス」な実装の例をご紹介します。具体的には「AWSサービスのIPレンジ変更を検知し、AWS WAFのIPセットを自動更新してみた」例です。

Lambdaレスな考え方は、AWS Summit Japan 2024のセッション「サーバーレス開発のベストプラクティス ~より効果的に、より賢く使いこなすために~」(動画資料)で取り上げられ、注目されています。*1

いざ実装してみると、Lambda関数の保守がいらなくなるメリットが大きく感じられました。

*1:2024年8月23日から24日にかけて開催されるイベント「JAWS PANKRATION 2024」でも、AWSコミュニティビルダーの鈴木さんが「What is "Lambdaless" serverless?」を発表予定です。

続きを読む

スナップショットテストをやめて、ビジュアルリグレッションテストに移行した話

こんにちは、ENECHANGEの清水です。

普段の業務では主にフロントエンドの開発を担当していますが、最近はRailsでのバックエンドの開発にも参加しています。

今回は、スナップショットテストをビジュアルリグレッションテスト(以下 VRTと略)に移行した話について紹介したいと思います。

続きを読む

Terraformモジュール構成のベストプラクティス

VPoTの岩本 (iwamot) です。

この記事では、Terraformモジュール構成のベストプラクティスをご紹介します。Terraformドキュメントに書かれているものですが、従わずに時間を溶かした失敗談をまじえてお伝えすることで、同じ轍を踏む方が減ることを願っています。

取り上げるのは下記のベストプラクティスです。

続きを読む