Роняем прод в облаке быстро и качественно
Думаете, ваши облачные сервисы защищены от случайного (или намеренного) уничтожения? А если для «апокалипсиса» нужно отправить всего один GET-запрос?..
В новой статье «Один GET и облака нет: роняем прод в надежном облаке быстро и качественно» разложим по шагам, как устроена атака на инфраструктуру в Яндекс.Облаке:
с чего начинается уязвимость и как её обнаружить
как работает сервис метаданных и IAM-токены
пошаговый разбор kill chain: от SSRF до полного удаления прод-ресурсов
что именно можно уронить, имея доступ к облаку
простые и эффективные превентивные меры — и почему их раньше не внедряли
Проверьте свои облачные настройки — пока кто-то не проверил их за вас!