AWS - Cognito Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Το Amazon Cognito χρησιμοποιείται για authentication, authorization, and user management σε διαδικτυακές και κινητές εφαρμογές. Επιτρέπει στους χρήστες την ευελιξία να συνδεθούν είτε άμεσα χρησιμοποιώντας ένα user name and password είτε έμμεσα μέσω ενός third party, συμπεριλαμβανομένων των Facebook, Amazon, Google ή Apple.
Κεντρικά στο Amazon Cognito είναι δύο κύρια στοιχεία:
User Pools: Αυτοί είναι κατάλογοι σχεδιασμένοι για τους χρήστες της εφαρμογής σας, προσφέροντας sign-up and sign-in functionalities.
Identity Pools: Αυτές οι πισίνες είναι καθοριστικές για authorizing users to access different AWS services. Δεν εμπλέκονται άμεσα στη διαδικασία sign-in ή sign-up αλλά είναι κρίσιμες για την πρόσβαση σε πόρους μετά την αυθεντικοποίηση.
Για να μάθετε τι είναι ένα Cognito User Pool check:
Για να μάθετε τι είναι ένα Cognito Identity Pool check:
Απλά γνωρίζοντας το ID της Identity Pool μπορεί να είστε σε θέση να πάρετε διαπιστευτήρια του ρόλου που σχετίζεται με τους μη αυθεντικοποιημένους χρήστες (αν υπάρχουν). Δείτε πώς εδώ.
Ακόμα και αν δεν γνωρίζετε ένα έγκυρο όνομα χρήστη μέσα στο Cognito, μπορεί να είστε σε θέση να καταγράψετε έγκυρα ονόματα χρήστη, BF τους κωδικούς πρόσβασης ή ακόμα και να εγγραφείτε ως νέος χρήστης απλά γνωρίζοντας το App client ID (το οποίο συνήθως βρίσκεται στον πηγαίο κώδικα). Δείτε πώς εδώ.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
