AWS - CloudFront Post Exploitation
CloudFront
Für weitere Informationen siehe:
Man-in-the-Middle
Dieser Blogbeitrag schlägt ein paar verschiedene Szenarien vor, in denen eine Lambda hinzugefügt (oder modifiziert, wenn sie bereits verwendet wird) werden könnte, um eine Kommunikation über CloudFront mit dem Ziel zu stehlen von Benutzerinformationen (wie dem Sitzungs-Cookie) und modifizieren der Antwort (einfügen eines bösartigen JS-Skripts).
Szenario 1: MitM, bei dem CloudFront konfiguriert ist, um auf einige HTML eines Buckets zuzugreifen
Erstelle die bösartige Funktion.
Assoziiere sie mit der CloudFront-Distribution.
Setze den Ereignistyp auf "Viewer Response".
Durch den Zugriff auf die Antwort könntest du das Cookie der Benutzer stehlen und ein bösartiges JS injizieren.
Szenario 2: MitM, bei dem CloudFront bereits eine Lambda-Funktion verwendet
Modifiziere den Code der Lambda-Funktion, um sensible Informationen zu stehlen.
Du kannst den tf-Code zur Wiederherstellung dieser Szenarien hier überprüfen.
Last updated