AWS - CloudFront Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CloudFrontはAWSのコンテンツ配信ネットワークで、静的および動的コンテンツの配信を加速します。Amazon CloudFrontを通じてホストしているリクエストコンテンツを使用すると、リクエストは最も近いエッジロケーションにルーティングされ、最も低いレイテンシで最高のパフォーマンスを提供します。CloudFrontアクセスログが有効になっていると、ウェブサイトや配信にアクセスをリクエストする各ユーザーからのリクエストを記録できます。S3アクセスログと同様に、これらのログも耐久性と永続的なストレージのためにAmazon S3に保存されます。ログ自体を有効にすることに対して料金は発生しませんが、ログがS3に保存されるため、S3によって使用されるストレージに対して料金が発生します。
ログファイルは一定期間のデータをキャプチャし、Amazon CloudFrontがその配信に対して受け取るリクエストの量に応じて生成されるログファイルの量が決まります。これらのログファイルはS3上で作成または書き込まれないことを知っておくことが重要です。S3は、ログファイルが満杯になったときに配信される場所に過ぎません。Amazon CloudFrontは、これらのログをS3に配信する準備ができるまで保持します。再度、これらのログファイルのサイズに応じて、この配信には1時間から24時間かかることがあります。
デフォルトではクッキーロギングは無効になっていますが、これを有効にすることができます。
CloudFrontで関数を作成できます。これらの関数はcloudfrontにエンドポイントが定義され、宣言されたNodeJSコードを実行します。このコードは、AWSが管理するマシン上で実行されるサンドボックス内で実行されます(基盤となるOSに逃げるためにはサンドボックスバイパスが必要です)。
関数はユーザーのAWSアカウントで実行されないため、IAMロールは添付されず、この機能を悪用しての直接的な権限昇格は不可能です。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)