19. Finding Known Vulnerabilities In Open Source Packages
Lambdaファンクションのソースコードから、node-uuid というnpmパッケージへの依存関係が含
まれていることがわかった
URLフォームに以下を入力
https://www.puresec.io/hubfs/document.doc; ls #
アプリの開発者は誤って、 package.json の内容を同梱してしまっていることが判明
20. Finding Known Vulnerabilities In Open Source Packages
URLフォームに以下を入力
https://www.puresec.io/hubfs/document.doc; cat package.json #
バージョンがとても古い
これの脆弱性を悪用することを考えたり。
21. Denial of Service
Lambdaファンクションの同時実行数に着目して、DoSにすることも可能
例えば、以下のような実行可能なAPI URLをdocument_urlの後、URLエンコードで結合したURL
を用意し、これを同時に実行する。これを同時実行させるスクリプトを組む。
https://i92uw6vw73.execute-api.us-east-
1.amazonaws.com/Prod/api/convert?document_url=https%3A%2F%2Fi92uw6vw73.execute-
api.us-east-1.amazonaws.com%2FProd%2Fapi%2Fconvert%3Fdocument_url...