我有一个负载平衡器configuration端口443到端口80的ec2服务器和像Burtsuite嗅探器我可以编辑请求。 如何configurationELB来避免这种types的攻击?
例如,当我访问这个脚本/userprofile/Get.php通过发送user_id参数和Burtsuite可以修改这个user_id到另一个。
运行EC2服务器作为HTTPS,而不是HTTP,并让ELB传递443到443而不是80。
也就是说,如果他们能够进入你的内部networking来嗅探ELB和EC2之间的stream量,那么你就会遇到更大的问题。
真正的解决办法是阻止ELB以外的任何人访问您的EC2。 这是如何使用AWS的,你有这里的所有信息。 pipe理Amazon EC2-Classic中的安全组 – Elastic Load Balancing 。 安全组是您的防火墙。
您在此处获得有关安全性的其他信息: Amazon Web Services:安全性概述