# AWS - CloudFront Post Exploitation

{{#include ../../../banners/hacktricks-training.md}}

## CloudFront

Per ulteriori informazioni controlla:

{{#ref}}
../aws-services/aws-cloudfront-enum.md
{{#endref}}

### Man-in-the-Middle

Questo [**post del blog**](https://medium.com/@adan.alvarez/how-attackers-can-misuse-aws-cloudfront-access-to-make-it-rain-cookies-acf9ce87541c) propone un paio di scenari diversi in cui una **Lambda** potrebbe essere aggiunta (o modificata se è già in uso) in una **comunicazione tramite CloudFront** con lo scopo di **rubare** informazioni degli utenti (come il **cookie** di sessione) e **modificare** la **risposta** (iniettando uno script JS malevolo).

#### scenario 1: MitM dove CloudFront è configurato per accedere a qualche HTML di un bucket

- **Crea** la **funzione** malevola.
- **Associala** alla distribuzione CloudFront.
- Imposta il **tipo di evento su "Viewer Response"**.

Accedendo alla risposta potresti rubare il cookie degli utenti e iniettare un JS malevolo.

#### scenario 2: MitM dove CloudFront sta già utilizzando una funzione lambda

- **Modifica il codice** della funzione lambda per rubare informazioni sensibili

Puoi controllare il [**codice tf per ricreare questi scenari qui**](https://github.com/adanalvarez/AWS-Attack-Scenarios/tree/main).

{{#include ../../../banners/hacktricks-training.md}}