У меня есть балансировщик нагрузки, настроенный с порта 443 на порт 80 серверов ec2, и с помощью сниффера, такого как Burtsuite, я могу редактировать запрос. Как настроить ELB, чтобы избежать атак этого типа ?.
Например, когда я обращаюсь к этому скрипту /userprofile/Get.php, отправляя по почте параметр user_id и с помощью Burtsuite могу изменить этот user_id на другой.
Настоящее решение - не допускать никого кроме ELB чтобы получить доступ к вашему EC2. Вот как предполагается использовать AWS, и здесь у вас есть вся информация. Управление группами безопасности в Amazon EC2-Classic - эластичная балансировка нагрузки. Группа безопасности - это ваш брандмауэр.
У вас есть дополнительная информация о безопасности здесь: Amazon Web Services: обзор безопасности
Запустите серверы EC2 как HTTPS, а не HTTP, и пусть ELB передает с 443 по 443, а не 80.
Тем не менее, если они могут проникнуть в вашу внутреннюю сеть для прослушивания трафика между ELB и EC2, у вас будут большие проблемы.