Cognito

Pour plus d'informations, accédez à :

Persistance de l'utilisateur

Cognito est un service qui permet d'attribuer des rôles aux utilisateurs non authentifiés et authentifiés et de contrôler un répertoire d'utilisateurs. Plusieurs configurations différentes peuvent être modifiées pour maintenir une certaine persistance, comme :

• Ajouter un pool d'utilisateurs contrôlé par l'utilisateur à un pool d'identités

• Donner un rôle IAM à un pool d'identités non authentifiées et autoriser le flux d'authentification de base

• Ou à un pool d'identités authentifiées si l'attaquant peut se connecter

• Ou améliorer les autorisations des rôles donnés

• Créer, vérifier et élever les privilèges via des utilisateurs contrôlés par des attributs ou de nouveaux utilisateurs dans un pool d'utilisateurs

• Autoriser des fournisseurs d'identité externes à se connecter à un pool d'utilisateurs ou à un pool d'identités

Consultez comment effectuer ces actions dans

cognito-idp:SetRiskConfiguration

Un attaquant avec ce privilège pourrait modifier la configuration des risques pour pouvoir se connecter en tant qu'utilisateur Cognito sans déclencher d'alarmes. Consultez la cli pour vérifier toutes les options :

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Par défaut, cela est désactivé :