AWS - CloudFront Post Exploitation
CloudFront
Für weitere Informationen siehe:
pageAWS - CloudFront EnumMan-in-the-Middle
Dieser Blog-Beitrag schlägt ein paar verschiedene Szenarien vor, in denen eine Lambda zu einer Kommunikation über CloudFront hinzugefügt (oder geändert, wenn sie bereits verwendet wird) werden könnte, um Benutzerinformationen (wie das Sitzungs-Cookie) zu stehlen und die Antwort zu modifizieren (Einschleusen eines bösartigen JS-Skripts).
Szenario 1: MitM, bei dem CloudFront so konfiguriert ist, dass auf ein HTML eines Buckets zugegriffen wird
Erstellen Sie die bösartige Funktion.
Verknüpfen Sie sie mit der CloudFront-Verteilung.
Legen Sie den Ereignistyp auf "Viewer Response" fest.
Durch den Zugriff auf die Antwort könnten Sie das Cookie des Benutzers stehlen und ein bösartiges JS einschleusen.
Szenario 2: MitM, bei dem CloudFront bereits eine Lambda-Funktion verwendet
Ändern Sie den Code der Lambda-Funktion, um sensible Informationen zu stehlen
Sie können den Terraform-Code zum Nachstellen dieser Szenarien hier überprüfen.
Last updated