欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Cloudfront劫持技术分析与介绍

来源:本站整理 作者:佚名 时间:2018-05-10 TAG: 我要投稿

近期,我一直在研究CloudFront域名劫持相关的问题。虽然这并不是一种新出现的安全问题,但其重要性显而易见:
1.   CloudFront的某些默认行为不够直观,某些标准DNS配置会误导用户并让他们认为自己存在安全问题的域名已经配置正确了。
2.   在过去的一年里,错误配置的S3 Bucket已经成为了一个非常严重的问题,其他的AWS安全问题也日益突出。
3.   由于错误配置的域名将导致严重的问题出现,攻击者会将其视作重点攻击对象。
很明显,这方面的安全问题对于那些没有深入研究过相关内容的人来说,肯定是不明显的。虽然HackerOne上有一些相关话题的讨论,但我认为还是有很多人没有意识到这些问题的严重性的。
背景资料
CloudFront是亚马逊Web服务(AWS)提供的一种内容分发网络(CDN),CloudFront用户需要创建CloudFront Distribution来托管其他来源的内容(例如S3 bucket),每一个CloudFront Distribution给用户提供了一个唯一的终端节点来指向他们的DNS记录(例如d111111abcdef8.cloudfront.net)。所有域名所使用的特定Distribution需要记录在一个CNAME域中。当CloudFront节点接收到了一个请求之后,它并不会自动将相应Distribution中的内容呈现出来。相反,CloudFront使用了请求中的HOST头来判断去使用哪一个Distribution。这意味着下面两件事情:
1.   如果HOST头跟CNAME域中的域名不匹配,请求将失败。
2.   任何其他的CloudFront Distribution如果包含了HOST头中的指定域名,它将接收到请求并对其进行正常响应。
这样一来,将会导致域名被劫持。
例子
域名test.disloops.com是一条只想disloops.com的CNAME记录。
disloops.com域名使用了一个CloudFront Distribution。
由于test.disloops.com没有添加到Distribution备用域名的CNAME域之中,发送至test.disloops.com的请求将会失败。
其他用户可以创建一个CloudFront Distribution并将test.disloops.com添加到备用域名CNAME域中,并实现域名劫持。
这也就意味着,CloudFront所绑定的唯一节点跟唯一Distribution就没有任何意义了:

研究分析
我专门编写了一个名叫CloudFrunt的Python脚本来自动化地扫描存在此漏洞的域名:
1.   可接受域名列表;
2.   通过dnsrecon寻找更多的相关域名;
3.   选择出指向CloudFrontIP地址空间的域名;
4.   测试目标域名是否存在错误配置问题;
5.   (可选)将它们添加到CloudFront Distribution之中;
脚本获取:【点我获取】

目前,我们已经发现了90500个唯一的域名地址,与之绑定的IP地址大约有一百万个。所以我创建了一个EC2实例来对它们进行测试,并以并行的方式用CloudFrunt来对它们进行扫描。
结果分析
脚本运行了几天之后,我发现了2000多个新的CloudFront Distribution域名
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载