نوشته‌شده در

مرد در وسط – امنیت AWS Lambda ارتباط با غیر HTTPS API

تعجب بر این است که چه حملاتی ممکن است در سناریوی زیر ظاهر شوند.

من یک سرویس وب دارم که یک لامبدا AWS (پشت دروازه API) ایجاد می کند که باعث می شود چندین تراکنش (ارسال ایمیل، اضافه کردن به لیست پستی) و سپس یک درخواست برای یک API ارسال می کند. با این حال این API با https تضمین نشده است. API با لیست سفارشی IP تأمین می شود. API همچنین انتظار می رود یک نشانه مجوز در درخواست، که از طریق HTTP تایید مجوز منتقل می شود.

بنابراین سوال من این است، از آنجا که سرویس وب تنها POST درخواست به سرویس لامبدا، سپس سرور لامبدا POST API، یک کاربر میتواند آن ترافیک را دنبال کند و نقطه پایانی API را پیدا کند؟ به هر حال یک کاربر مخرب می تواند ترافیک خروجی را از نقطه پایانی لامبدا خراب کند؟

FWIW – هیچ اطلاعات بسیار حساس در API وجود ندارد، اما برخی از داده های کاربر وجود دارد. این کار قبل از ورود به سیستم با استفاده از HTTPS قفل می شود، من فقط کنجکاو هستم که بدانم که بردارهای بالقوه حمله وجود دارد.

نوشته‌شده در

اسکنرهای شبکه – اسکن از طریق AWS Cloud Recommendation

فقط به یک توصیه نیاز دارم، زیرا ما یک سرور اسکنر (Nessus) پشت یک فایروال داریم و سعی کردیم با استفاده از IP واقعی (Whitelisted) اسکن کنیم و سعی کردیم هدفمان را اسکن کنیم و نتیجه آن قابل اعتماد باشد
و دومین سناریو هدف ما با استفاده از VPN اسکن شده است و نتیجه غیر قابل اطمینان است (بعضی از پورت ها باز هستند) اما نمونه ای از این پورت ها نیست: پورت 8080445 و غیره و برنامه ما تنظیم سرویس AWS Cloud و ایجاد nessus اسکن کردن به ابر برای نتیجه قابل اعتماد، اما سوالات این است، چه من استفاده می شود به یک نتیجه قابل اعتماد؟ پروکسی؟ NAT؟ هر گونه پیشنهاد با خوشحالی در نظر گرفته خواهد شد. با تشکر از شما!

نوشته‌شده در

کنترل دسترسی – اطمینان در دسترس بودن سرویس در هنگام دسترسی به AWS مسدود شده است

این سایت از کوکی ها برای ارائه خدمات ما و نمایش آگهی های مرتبط و لیست های شغلی استفاده می کند.
با استفاده از سایت ما، شما تأیید میکنید که ما خط مشی کوکیها، خط مشی رازداری و شرایط خدمات ما را خوانده و درک کردهاید.
استفاده شما از محصولات و خدمات سرریز پشته، از جمله شبکه سرریز پشته، تحت این شرایط و ضوابط است.