Ett av föredragen på Def Con 2019 handlade om Apple Pay och SSRF (server side request forgery).
Vad är en SSRF attack?
I en SSRF attack kan angriparen använda funktionerna på servern för att läsa eller uppdatera interna resurser.
Angriparen kan ändra en URL som koden som körs på servern kommer att läsa eller skicka data till, och genom att välja webbadresserna kan angriparen läsa serverkonfiguration som AWS-metadata, ansluta till interna tjänster som http-aktiverad databaser eller utföra post-request mot interna tjänster som inte är avsedda att exponeras.
API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web med Joshua Maddux