Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
AWS - CloudFront EnumQuesto post del blog propone un paio di scenari diversi in cui una Lambda potrebbe essere aggiunta (o modificata se è già in uso) in una comunicazione tramite CloudFront con lo scopo di rubare informazioni degli utenti (come il cookie di sessione) e modificare la risposta (iniettando uno script JS malevolo).
Crea la funzione malevola.
Associala alla distribuzione CloudFront.
Imposta il tipo di evento su "Viewer Response".
Accedendo alla risposta potresti rubare il cookie degli utenti e iniettare un JS malevolo.
Modifica il codice della funzione lambda per rubare informazioni sensibili
Puoi controllare il codice tf per ricreare questi scenari qui.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
