AWS - Cognito Persistence

Cognito

Per ulteriori informazioni, accedi a:

Persistenza dell'utente

Cognito è un servizio che consente di assegnare ruoli agli utenti non autenticati e autenticati e di controllare un elenco di utenti. Diverse configurazioni possono essere modificate per mantenere una certa persistenza, come:

• Aggiungere un Pool di utenti controllato dall'utente a un Pool di identità

• Dare un ruolo IAM a un Pool di identità non autenticato e consentire il flusso di autenticazione di base

• O a un Pool di identità autenticato se l'attaccante può effettuare il login

• O migliorare le autorizzazioni dei ruoli dati

• Creare, verificare e ottenere privilegi tramite attributi controllati dagli utenti o nuovi utenti in un Pool di utenti

• Consentire ai fornitori di identità esterni di effettuare il login in un Pool di utenti o in un Pool di identità

Verifica come eseguire queste azioni in

cognito-idp:SetRiskConfiguration

Un attaccante con questo privilegio potrebbe modificare la configurazione del rischio per poter effettuare il login come utente Cognito senza che vengano attivati allarmi. Controlla la cli per verificare tutte le opzioni:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Di default questo è disabilitato: