AWS - CloudFront Post Exploitation
CloudFront
Para más información revisa:
pageAWS - CloudFront EnumHombre en el Medio
Este artículo del blog propone un par de escenarios diferentes donde un Lambda podría ser añadido (o modificado si ya se está utilizando) en una comunicación a través de CloudFront con el propósito de robar información del usuario (como la cookie de sesión) y modificar la respuesta (inyectando un script JS malicioso).
escenario 1: MitM donde CloudFront está configurado para acceder a algún HTML de un bucket
Crear la función maliciosa.
Asociarla con la distribución de CloudFront.
Establecer el tipo de evento en "Viewer Response".
Accediendo a la respuesta podrías robar la cookie del usuario e inyectar un JS malicioso.
escenario 2: MitM donde CloudFront ya está utilizando una función lambda
Modificar el código de la función lambda para robar información sensible
Puedes revisar el código tf para recrear estos escenarios aquí.
Última actualización