CloudFront

Za više informacija pogledajte:

Čovek-u-sredini

Ovaj blog post predlaže nekoliko različitih scenarija gde se Lambda može dodati (ili izmeniti ako se već koristi) u komunikaciju preko CloudFront-a sa ciljem krađe korisničkih informacija (kao što je sesijski kolačić) i izmena odgovora (ubacivanje zlonamernog JS skripta).

scenario 1: Čovek-u-sredini gde je CloudFront konfigurisan za pristupanje nekom HTML-u iz bucket-a

• Kreirajte zlonamernu funkciju.

• Povežite je sa CloudFront distribucijom.

• Postavite tip događaja na "Viewer Response".

Pristupanjem odgovoru možete ukrasti korisnički kolačić i ubaciti zlonamerni JS.

scenario 2: Čovek-u-sredini gde CloudFront već koristi lambda funkciju

• Izmenite kod lambda funkcije da biste ukrali osetljive informacije

Možete proveriti tf kod za rekreiranje ovih scenarija ovde.