Cognito

Für weitere Informationen, besuchen Sie:

Benutzerpersistenz

Cognito ist ein Dienst, der es ermöglicht, Rollen für nicht authentifizierte und authentifizierte Benutzer zu vergeben und ein Benutzerverzeichnis zu steuern. Es können verschiedene Konfigurationen geändert werden, um eine gewisse Persistenz aufrechtzuerhalten, wie z.B.:

• Hinzufügen eines vom Benutzer gesteuerten Benutzerpools zu einem Identitätspool

• Einem IAM-Rolle zu einem nicht authentifizierten Identitätspool hinzufügen und den Basic-Auth-Flow zulassen

• Oder einem authentifizierten Identitätspool, wenn der Angreifer sich anmelden kann

• Oder die Berechtigungen der zugewiesenen Rollen verbessern

• Erstellen, überprüfen & Privilege Escalation über attributgesteuerte Benutzer oder neue Benutzer in einem Benutzerpool

• Externe Identitätsanbieter zulassen, um sich in einem Benutzerpool oder einem Identitätspool anzumelden

Überprüfen Sie, wie Sie diese Aktionen ausführen können unter

cognito-idp:SetRiskConfiguration

Ein Angreifer mit diesem Privileg könnte die Risikokonfiguration ändern, um sich als Cognito-Benutzer anzumelden, ohne dass Alarme ausgelöst werden. Überprüfen Sie die CLI, um alle Optionen zu überprüfen:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Standardmäßig ist dies deaktiviert: