AWS - Cognito Persistence

Cognito

Aby uzyskać więcej informacji, przejdź do:

Utrzymywanie użytkowników

Cognito to usługa, która pozwala przypisywać role użytkownikom nieautoryzowanym i autoryzowanym oraz kontrolować katalog użytkowników. Można zmienić kilka różnych konfiguracji, aby utrzymać pewną persystencję, takie jak:

• Dodanie User Pool kontrolowanego przez użytkownika do Identity Pool

• Nadanie roli IAM nieautoryzowanemu Identity Pool i umożliwienie podstawowego przepływu autoryzacji

• Lub do autoryzowanego Identity Pool, jeśli atakujący może się zalogować

• Lub poprawa uprawnień nadanych ról

• Tworzenie, weryfikacja i privesc za pomocą atrybutów kontrolowanych przez użytkowników lub nowych użytkowników w User Pool

• Zezwolenie zewnętrznym dostawcom tożsamości na logowanie się w User Pool lub w Identity Pool

Sprawdź, jak wykonać te działania w

cognito-idp:SetRiskConfiguration

Atakujący z tym uprawnieniem mógłby zmodyfikować konfigurację ryzyka, aby móc zalogować się jako użytkownik Cognito bez wyzwalania alarmów. Sprawdź cli, aby zobaczyć wszystkie opcje:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Domyślnie jest to wyłączone: