Cognito User Pools
Basic Information
Un user pool è un directory di utenti in Amazon Cognito. Con un user pool, i tuoi utenti possono accedere alla tua app web o mobile tramite Amazon Cognito, o federarsi tramite un fornitore di identità di terze parti (IdP). Che i tuoi utenti accedano direttamente o tramite un terzo, tutti i membri del user pool hanno un profilo di directory a cui puoi accedere tramite un SDK.
I user pool forniscono:
Servizi di registrazione e accesso.
Un'interfaccia web personalizzabile integrata per accedere gli utenti.
Accesso sociale con Facebook, Google, Login con Amazon e Accesso con Apple, e tramite fornitori di identità SAML e OIDC dal tuo user pool.
Gestione della directory degli utenti e profili utente.
Funzionalità di sicurezza come l'autenticazione a più fattori (MFA), controlli per credenziali compromesse, protezione contro il takeover dell'account e verifica di telefono ed email.
Flussi di lavoro personalizzati e migrazione degli utenti tramite trigger AWS Lambda.
Il codice sorgente delle applicazioni conterrà solitamente anche il user pool ID e il client application ID, (e a volte il segreto dell'applicazione?) che sono necessari per un utente per accedere a un Cognito User Pool.
Potential attacks
Registrazione: Per impostazione predefinita, un utente può registrarsi, quindi potrebbe creare un utente per se stesso.
Enumerazione degli utenti: La funzionalità di registrazione può essere utilizzata per trovare nomi utente che già esistono. Queste informazioni possono essere utili per l'attacco di forza bruta.
Login brute-force: Nella sezione Authentication hai tutti i metodi che un utente ha per accedere, potresti provare a forzare la loro ricerca di credenziali valide.
Tools for pentesting
Pacu, ora include i moduli
cognito__enum
ecognito__attack
che automatizzano l'enumerazione di tutte le risorse Cognito in un account e segnalano configurazioni deboli, attributi utente utilizzati per il controllo degli accessi, ecc., e automatizzano anche la creazione di utenti (incluso il supporto MFA) e l'elevazione dei privilegi basata su attributi personalizzabili modificabili, credenziali di pool di identità utilizzabili, ruoli assunti nei token id, ecc. Per una descrizione delle funzioni dei moduli, vedere la parte 2 del blog post. Per le istruzioni di installazione, vedere la pagina principale di Pacu.
Cognito Scanner è uno strumento CLI in python che implementa diversi attacchi su Cognito, inclusa la creazione non desiderata di account e l'oracolo degli account. Controlla questo link per ulteriori informazioni.
CognitoAttributeEnum: Questo script consente di enumerare gli attributi validi per gli utenti.
Registrazione
User Pools consente per default di registrare nuovi utenti.
Se chiunque può registrarsi
Potresti trovare un errore che indica che devi fornire più dettagli riguardo all'utente:
Puoi fornire i dettagli necessari con un JSON come:
Puoi utilizzare questa funzionalità anche per enumerare gli utenti esistenti. Questo è il messaggio di errore quando un utente esiste già con quel nome:
Nota nel comando precedente come i custom attributes iniziano con "custom:". Sappi anche che durante la registrazione non puoi creare nuovi custom attributes per l'utente. Puoi solo dare valore ai default attributes (anche se non sono richiesti) e ai custom attributes specificati.
O semplicemente per testare se un client id esiste. Questo è l'errore se il client-id non esiste:
Se solo l'amministratore può registrare utenti
Troverai questo errore e non sarai in grado di registrare o enumerare utenti:
Verifying Registration
Cognito consente di verificare un nuovo utente verificando la sua email o il numero di telefono. Pertanto, quando si crea un utente, di solito sarà richiesto almeno il nome utente e la password e l'email e/o il numero di telefono. Basta impostare uno che controlli in modo da ricevere il codice per verificare il tuo nuovo account utente creato in questo modo:
Anche se sembra che tu possa usare la stessa email e numero di telefono, quando devi verificare l'utente creato Cognito si lamenterà dell'uso delle stesse informazioni e non ti permetterà di verificare l'account.
Escalation dei privilegi / Aggiornamento degli attributi
Per impostazione predefinita, un utente può modificare il valore dei suoi attributi con qualcosa come:
Privilegi di escalation degli attributi personalizzati
Potresti trovare attributi personalizzati utilizzati (come isAdmin
), poiché per impostazione predefinita puoi cambiare i valori dei tuoi attributi potresti essere in grado di escalare i privilegi cambiando il valore tu stesso!
Privilegi di escalation nella modifica di email/nome utente
Puoi utilizzare questo per modificare l'email e il numero di telefono di un utente, ma poi, anche se l'account rimane verificato, quegli attributi sono impostati in stato non verificato (devi verificarli di nuovo).
Non sarai in grado di accedere con email o numero di telefono fino a quando non li verifichi, ma sarai in grado di accedere con il nome utente.
Nota che anche se l'email è stata modificata e non verificata apparirà nel Token ID all'interno del campo email
e il campo email_verified
sarà false, ma se l'app non sta controllando potresti impersonare altri utenti.
Inoltre, nota che puoi mettere qualsiasi cosa all'interno del campo name
semplicemente modificando l'attributo name. Se un'app controlla quel campo per qualche motivo invece di email
(o qualsiasi altro attributo) potresti essere in grado di impersonare altri utenti.
Comunque, se per qualche motivo hai cambiato la tua email, ad esempio con una nuova a cui puoi accedere, puoi confermare l'email con il codice che hai ricevuto a quell'indirizzo email:
Usa phone_number
invece di email
per cambiare/verificare un nuovo numero di telefono.
L'amministratore potrebbe anche abilitare l'opzione per accedere con un nome utente preferito dall'utente. Tieni presente che non potrai cambiare questo valore in nessun nome utente o preferred_username già in uso per impersonare un altro utente.
Recupera/Cambia Password
È possibile recuperare una password semplicemente conoscendo il nome utente (o l'email o il telefono sono accettati) e avendo accesso ad esso poiché un codice verrà inviato lì:
La risposta del server sarà sempre positiva, come se il nome utente esistesse. Non puoi utilizzare questo metodo per enumerare gli utenti.
Con il codice puoi cambiare la password con:
Per cambiare la password è necessario conoscere la password precedente:
Autenticazione
Un user pool supporta diversi modi per autenticarsi. Se hai un nome utente e una password, ci sono anche diversi metodi supportati per effettuare il login. Inoltre, quando un utente è autenticato nel Pool, vengono forniti 3 tipi di token: il Token ID, il Token di Accesso e il Token di Aggiornamento.
Token ID: Contiene affermazioni sulla identità dell'utente autenticato, come
name
,email
ephone_number
. Il token ID può anche essere utilizzato per autenticare gli utenti ai tuoi server di risorse o applicazioni server. Devi verificare la firma del token ID prima di poter fidarti di qualsiasi affermazione all'interno del token ID se lo usi in applicazioni esterne.Il Token ID è il token che contiene i valori degli attributi dell'utente, anche quelli personalizzati.
Token di Accesso: Contiene affermazioni sull'utente autenticato, un elenco dei gruppi dell'utente e un elenco di scope. Lo scopo del token di accesso è autorizzare le operazioni API nel contesto dell'utente nel user pool. Ad esempio, puoi utilizzare il token di accesso per concedere al tuo utente l'accesso per aggiungere, modificare o eliminare attributi utente.
Token di Aggiornamento: Con i token di aggiornamento puoi ottenere nuovi Token ID e Token di Accesso per l'utente fino a quando il token di aggiornamento non è invalido. Per impostazione predefinita, il token di aggiornamento scade 30 giorni dopo che l'utente della tua applicazione accede al tuo user pool. Quando crei un'applicazione per il tuo user pool, puoi impostare la scadenza del token di aggiornamento dell'applicazione a qualsiasi valore tra 60 minuti e 10 anni.
ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH
Questo è il flusso di autenticazione lato server:
L'applicazione lato server chiama l'operazione API
AdminInitiateAuth
(invece diInitiateAuth
). Questa operazione richiede credenziali AWS con permessi che includonocognito-idp:AdminInitiateAuth
ecognito-idp:AdminRespondToAuthChallenge
. L'operazione restituisce i parametri di autenticazione richiesti.Dopo che l'applicazione lato server ha i parametri di autenticazione, chiama l'operazione API
AdminRespondToAuthChallenge
. L'operazione APIAdminRespondToAuthChallenge
ha successo solo quando fornisci credenziali AWS.
Questo metodo NON è abilitato per impostazione predefinita.
Per effettuare il login devi conoscere:
id del user pool
id del client
nome utente
password
segreto del client (solo se l'app è configurata per utilizzare un segreto)
Per poter effettuare il login con questo metodo, quell'applicazione deve consentire il login con ALLOW_ADMIN_USER_PASSWORD_AUTH
.
Inoltre, per eseguire questa azione hai bisogno di credenziali con i permessi cognito-idp:AdminInitiateAuth
e cognito-idp:AdminRespondToAuthChallenge
Last updated