1. Zuhause
  2. Frage und Antwort
  3. Wie AWS WAF durch Zugriff auf Elastic Beanstalk-Instanz direkt umgangen werden kann

Wie AWS WAF durch Zugriff auf Elastic Beanstalk-Instanz direkt umgangen werden kann

2016-03-30 11 views
0

Ich habe derzeit eine Elastic Beanstalk Web App innerhalb einer VPC, die ich hinter eine WAF setzen möchte. Um dies zu tun, habe ich CloudFront mit der WAF hinzugefügt, um das zu betrachten. Aus Sicherheitsgründen habe ich den Zugriff auf die Elastic Beanstalk App nur über die AWS CloudFront IP-Adressen aktiviert, die ich mit Sicherheitsgruppen durchgeführt habe (automatische Aktualisierung, wenn sich diese IP-Adressen ändern).Wie AWS WAF durch Zugriff auf Elastic Beanstalk-Instanz direkt umgangen werden kann

Aber was soll jemand anderes meine EB-App-Webadresse zu ihrer eigenen CloudFront-Instanz hinzufügen, würde dies meine IP-Adressbeschränkungen für die VPC-Sicherheitsgruppe umgehen und ihnen Zugriff gewähren, ohne meine WAF zu durchlaufen?

Quelle

2016-03-30 smuff

Antwort

2

Ich denke, was hier helfen könnte ist, fügen Sie einige geheime benutzerdefinierte Header in Ihrer CloudFront-Verteilung (http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html), und machen Sie Ihre Herkunft auf das Vorhandensein der Kopfzeile überprüfen. Dadurch wird sichergestellt, dass nur Ihre Distribution Daten von Ihrem Ursprungsserver abrufen kann.

Quelle

2016-03-30 18:35:01

+0

Können die Leute nicht einfach den benutzerdefinierten Header manuell injizieren, wenn sie gefälscht werden sollten, um direkt an den Webserver gesendet zu werden? –

+1

Diese Lösung geht davon aus, dass der Header nicht bekannt ist (was für externe Angreifer der Fall ist). Um zu wissen, dass der Header-Angreifer entweder auf die Verteilungskonfiguration von CloudFront oder auf die EB-Konfiguration zugreifen muss, –

+0

Natürlich ist SSL auch erforderlich. –

 Verwandte Themen

  • Keine verwandten Themen^_^