云实例元数据 API

对手可能会尝试访问云实例元数据 API 以收集凭证和其他敏感数据。 大多数云服务提供商支持云实例元数据 API，这是一种提供给运行虚拟实例的服务，允许应用程序访问有关运行虚拟实例的信息。可用信息通常包括名称、安全组和其他元数据，包括敏感数据，如凭证和可能包含其他秘密的 UserData 脚本。实例元数据 API 作为一种便利提供，以帮助管理应用程序，并且任何可以访问实例的人都可以访问。(引用: AWS Instance Metadata API) 在至少一次高调的妥协中使用了云元数据 API。(引用: Krebs Capital One August 2019) 如果对手在运行的虚拟实例上有存在，他们可能会直接查询实例元数据 API 以识别授予访问其他资源的凭证。此外，对手可能会利用公共面对的 Web 代理中的服务器端请求伪造 (SSRF) 漏洞，允许他们通过请求实例元数据 API 访问敏感信息。(引用: RedLock Instance Metadata API 2018) 云服务提供商的事实标准是将实例元数据 API 托管在 http[:]//169.254.169.254。