Amazon web services 中间人攻击可以通过将cloudfront域添加到非我所有的域中来实现吗？

假设我在AWS上的应用程序负载平衡器（ALB）后面的ECS上运行RESTAPI。ALB前面是一个名为abcd.cloudfront.net的cloudfront域。正如人们所预料的那样，DNS提供商app.mysite.com上有一个CNAME记录设置，指向cloudfront域，并带有来自ACM的有效SSL证书。ALB有一条规则，只允许头主机为app.mysite.com的请求。这将在AWS上创建一个非常标准的API流

如果有人无法访问我的AWS帐户，使用域app.fake-mysite.com和有效的ACM证书*（对于app.fake-mysite.com）设置新的cloudfront域abcd2.cloudfront.net，并添加指向app.mysite.com的行为，会发生什么情况。这个外部实体可以使用它自己的ACM证书来引起中间人攻击吗？< /P> 请求流如下所示：

app.fake-mysite.com->abcd2.cloudfront.net->app.mysite.com->abcd.cloudfront.net->my-alb.domain->10.0.0.100:8080（RESTAPI）

---

外部实体是否可能在第一跳截获请求并捕获加密数据？如果是，如何防止这种情况

*为清晰起见进行了更新。

“外部实体是否可以在第一跳截获请求并捕获加密数据？”

不，外部实体无法拦截，因为浏览器将获得301永久重定向

浏览器->app.fake-mysite.com->abcd2.cloudfront.net->301到浏览器，重定向url为app.mysite.com

浏览器->app.mysite.com->abcd.cloudfront.net->my-alb.domain->10.0.0.100:8080（RESTAPI）

---

因此，重定向后，浏览器和实际网站之间直接进行通信。

信息安全部门已经回答了这个问题。答案是这是一种有效的网络钓鱼攻击

链接到已接受的答案：

---

他们如何获得有效的ACM证书？app.fake-mysite.com域由该外部实体拥有，因此颁发有效的ACM证书应该不会有问题。我在我拥有的另一个域中尝试了这种“cloudfront hopping”，它似乎起到了作用。这不是“中间人”攻击，因为证书属于假应用。。只是将您的服务用作后端。如果用户直接使用您的应用程序，并且设置为如果根证书未受损，则它不是mitmOkay，因此在您建议的场景中它不是MITM，外部实体无法覆盖我的域上的证书。但我的问题是，如果用户通过外部实体的域（app.fake mysite.com）会发生什么？最好是被问到301？就RESTAPI而言，请求将来自app.mysite.com。据我所知，当向cloudfront发行版添加自定义源代码时，cloudfront会获取您的源代码请求负载，并向源代码发出新的请求。这难道不意味着RESTAPI不知道请求来自app.fake mysite.com吗？为了更清晰，我添加了屏幕截图。如果您从浏览器访问app.fake-mysite.com，它将是301。301之后，用户的浏览器将与app.mysite.com而不是fake.com进行对话。查看屏幕快照2中的网络选项卡。我有一个请求。你能为你的cloudfront发行版设置一个新域名吗？这与有效的ACM证书一起将停止301重定向。如果你看看我最初的问题，它包括app.fake-mysite.com。我在我自己的一些域名上做了这个实验，添加备用CNAME会停止301重定向。请分享你的屏幕截图，显示REST呼叫的网络选项卡。。。即使您在后端API上从app.fake调用REST调用，由于CORS策略，浏览器上也无法读取响应…不幸的是，我无法公开执行此测试的应用程序。我得到了关于信息安全问题的答案：。再次感谢您的关注！