AWS - Cognito Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Cognito jest wykorzystywane do uwierzytelniania, autoryzacji i zarządzania użytkownikami w aplikacjach internetowych i mobilnych. Umożliwia użytkownikom elastyczność logowania się bezpośrednio za pomocą nazwa użytkownika i hasło lub pośrednio przez osobę trzecią, w tym Facebook, Amazon, Google lub Apple.
Centralnym elementem Amazon Cognito są dwa główne komponenty:
User Pools: To są katalogi zaprojektowane dla użytkowników Twojej aplikacji, oferujące funkcjonalności rejestracji i logowania.
Identity Pools: Te pule są kluczowe w autoryzacji użytkowników do uzyskiwania dostępu do różnych usług AWS. Nie są bezpośrednio zaangażowane w proces logowania lub rejestracji, ale są niezbędne do uzyskania dostępu do zasobów po uwierzytelnieniu.
Aby dowiedzieć się, czym jest Cognito User Pool, sprawdź:
Cognito User PoolsAby dowiedzieć się, czym jest Cognito Identity Pool, sprawdź:
Cognito Identity PoolsWystarczy znać ID puli tożsamości, aby móc uzyskać poświadczenia roli związanej z użytkownikami nieautoryzowanymi (jeśli takie istnieją). Sprawdź jak tutaj.
Nawet jeśli nie znasz ważnej nazwy użytkownika w Cognito, możesz być w stanie enumerować ważne nazwy użytkowników, BF hasła lub nawet zarejestrować nowego użytkownika, znając tylko ID klienta aplikacji (które zazwyczaj znajduje się w kodzie źródłowym). Sprawdź jak tutaj.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
