Man-in-the-Middle-Attack 可以通过将云端域添加到不属于我的域来实现吗？

Can a Man-in-the-Middle-Attack be achieved by adding a cloudfront domain to a domain not owned by me?

假设我在 AWS 上的应用程序负载均衡器 (ALB) 后面的 ECS 上有一个 REST API 运行。 ALB 前面是一个名为 abcd.cloudfront.net 的云端域。正如人们所预料的那样，DNS 提供商上有一个名为 app.mysite.com 的 CNAME 记录设置，它指向具有来自 ACM 的有效 SSL 证书的云端域。 ALB 有一条规则，只允许具有 header HOST:app.mysite.com 的请求。这在 AWS 上创建了一个非常标准的 API 流程。

如果无法访问我的 AWS 账户的人设置了一个新的云端域，abcd2.cloudfront.net 域 app.fake-mysite.com 和有效的 ACM 证书 *(for app.fake-mysite.com)，并添加指向 app.mysite.com 的行为。这个外部实体可以使用它自己的 ACM 证书来引起中间人攻击吗？

请求流程如下所示：

app.fake-mysite.com -> abcd2.cloudfront.net -> app.mysite.com -> abcd.cloudfront.net -> my-alb.domain -> 10.0.0.100： 8080（休息 API）

外部实体是否可以在第一跳拦截请求并捕获加密数据？如果是这样，如何预防？

*为清楚起见进行了更新。

“外部实体是否可以在第一跳拦截请求并捕获加密数据？”

不，外部实体无法拦截，因为浏览器将获得 301 永久重定向。

浏览器 -> app.fake-mysite.com -> abcd2.cloudfront.net -> 301 到浏览器重定向 url 作为应用程序。mysite.com

浏览器 -> app.mysite.com -> abcd.cloudfront.net -> my-alb.domain -> 10.0.0.100:8080 (REST API)

因此，在重定向之后，浏览器与实际网站之间直接进行通信。

信息安全部门已经回答了这个问题。答案是这是一次有效的网络钓鱼攻击。

Link 接受的答案： https://security.stackexchange.com/a/249166/256945

Man-in-the-Middle-Attack 可以通过将云端域添加到不属于我的域来实现吗？

Can a Man-in-the-Middle-Attack be achieved by adding a cloudfront domain to a domain not owned by me?

security

amazon-web-services

amazon-cloudfront