AWS - Cognito Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Cognito wird für Authentifizierung, Autorisierung und Benutzerverwaltung in Web- und mobilen Anwendungen verwendet. Es ermöglicht Benutzern die Flexibilität, sich entweder direkt mit einem Benutzernamen und Passwort oder indirekt über einen Drittanbieter, einschließlich Facebook, Amazon, Google oder Apple, anzumelden.
Zentral für Amazon Cognito sind zwei Hauptkomponenten:
Benutzerpools: Dies sind Verzeichnisse, die für Ihre App-Benutzer entworfen wurden und Anmelde- und Registrierungsfunktionen bieten.
Identitätspools: Diese Pools sind entscheidend für die Autorisierung von Benutzern zum Zugriff auf verschiedene AWS-Dienste. Sie sind nicht direkt am Anmelde- oder Registrierungsprozess beteiligt, sind jedoch entscheidend für den Ressourcen Zugriff nach der Authentifizierung.
Um zu lernen, was ein Cognito Benutzerpool ist, überprüfen Sie:
Cognito User PoolsUm zu lernen, was ein Cognito Identitätspool ist, überprüfen Sie:
Cognito Identity PoolsNur das Wissen um die Identity Pool ID könnte es Ihnen ermöglichen, die Anmeldeinformationen der Rolle, die mit nicht authentifizierten Benutzern verbunden ist (falls vorhanden), zu erhalten. Hier überprüfen.
Selbst wenn Sie keinen gültigen Benutzernamen innerhalb von Cognito kennen, könnten Sie in der Lage sein, gültige Benutzernamen zu enumerieren, BF die Passwörter oder sogar einen neuen Benutzer zu registrieren, nur mit dem Wissen um die App-Client-ID (die normalerweise im Quellcode zu finden ist). Hier überprüfen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)