AWS - CloudFront Post Exploitation
Last updated
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
CloudFront
अधिक जानकारी के लिए देखें:
Man-in-the-Middle
यह ब्लॉग पोस्ट कुछ अलग-अलग परिदृश्यों का प्रस्ताव करता है जहाँ एक Lambda को CloudFront के माध्यम से संचार में जोड़ा (या संशोधित) किया जा सकता है, जिसका उद्देश्य उपयोगकर्ता की जानकारी (जैसे सत्र का कुकी) को चुराना और प्रतिक्रिया को संशोधित करना (एक दुर्भावनापूर्ण JS स्क्रिप्ट इंजेक्ट करना) है।
परिदृश्य 1: MitM जहाँ CloudFront को एक बकेट के कुछ HTML तक पहुँचने के लिए कॉन्फ़िगर किया गया है
दुर्भावनापूर्ण कार्य बनाएं।
इसे CloudFront वितरण के साथ संलग्न करें।
इवेंट प्रकार को "Viewer Response" पर सेट करें।
प्रतिक्रिया को एक्सेस करके आप उपयोगकर्ताओं का कुकी चुरा सकते हैं और एक दुर्भावनापूर्ण JS इंजेक्ट कर सकते हैं।
परिदृश्य 2: MitM जहाँ CloudFront पहले से ही एक lambda फ़ंक्शन का उपयोग कर रहा है
संवेदनशील जानकारी चुराने के लिए lambda फ़ंक्शन का कोड संशोधित करें।
आप यहाँ tf कोड की जांच कर सकते हैं।