Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Amazon Cognitoは、ウェブおよびモバイルアプリケーションにおける認証、認可、ユーザー管理に利用されます。ユーザーは、ユーザー名とパスワードを直接使用してサインインするか、Facebook、Amazon、Google、またはAppleなどのサードパーティを通じて間接的にサインインする柔軟性があります。
Amazon Cognitoの中心には、2つの主要なコンポーネントがあります:
ユーザープール:これは、アプリのユーザー向けに設計されたディレクトリで、サインアップおよびサインイン機能を提供します。
アイデンティティプール:これらのプールは、異なるAWSサービスへのユーザーアクセスを認可するのに重要です。サインインやサインアッププロセスには直接関与しませんが、認証後のリソースアクセスにとって重要です。
Cognitoユーザープールとは何かを学ぶには:
Cognito User PoolsCognitoアイデンティティプールとは何かを学ぶには:
Cognito Identity Pools単に アイデンティティプールID を知っているだけで、認証されていない ユーザーに関連付けられたロールの 資格情報を取得できる かもしれません(もしあれば)。 ここで確認してください。
Cognito内で 有効なユーザー名 を知らなくても、有効なユーザー名を列挙 したり、パスワードを ブルートフォース したり、新しいユーザーを登録 したりすることができるかもしれません。これは アプリクライアントID を知っているだけで可能です(通常はソースコードに見つかります)。 ここで確認してください.
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
