Cognito User Pools
Informações Básicas
Um pool de usuários é um diretório de usuários no Amazon Cognito. Com um pool de usuários, seus usuários podem fazer login em seu aplicativo da web ou móvel por meio do Amazon Cognito, ou federar por meio de um provedor de identidade de terceiros (IdP). Seus usuários façam login diretamente ou por meio de um terceiro, todos os membros do pool de usuários têm um perfil de diretório ao qual você pode acessar por meio de um SDK.
Os pools de usuários fornecem:
Serviços de registro e login.
Uma interface de usuário da web integrada e personalizável para fazer login de usuários.
Login social com Facebook, Google, Login com Amazon e Login com Apple, e por meio de provedores de identidade SAML e OIDC do seu pool de usuários.
Gerenciamento de diretório de usuários e perfis de usuários.
Recursos de segurança, como autenticação multifator (MFA), verificações de credenciais comprometidas, proteção contra takeover de conta e verificação por telefone e e-mail.
Fluxos de trabalho personalizados e migração de usuários por meio de gatilhos AWS Lambda.
O código-fonte das aplicações geralmente também contém o ID do pool de usuários e o ID do aplicativo cliente, (e às vezes o segredo do aplicativo?) que são necessários para um usuário fazer login em um Pool de Usuários do Cognito.
Ataques Potenciais
Registro: Por padrão, um usuário pode se registrar, então ele poderia criar um usuário para si mesmo.
Enumeração de Usuários: A funcionalidade de registro pode ser usada para encontrar nomes de usuários que já existem. Essas informações podem ser úteis para o ataque de força bruta.
Ataque de Força Bruta no Login: Na seção de Autenticação você tem todos os métodos que um usuário tem para fazer login, você poderia tentar força bruta para encontrar credenciais válidas.
Ferramentas para Pentesting
Pacu, o framework de exploração da AWS, agora inclui os módulos "cognito__enum" e "cognito__attack" que automatizam a enumeração de todos os ativos do Cognito em uma conta e sinalizam configurações fracas, atributos de usuário usados para controle de acesso, etc., e também automatizam a criação de usuários (incluindo suporte a MFA) e escalonamento de privilégios com base em atributos personalizáveis modificáveis, credenciais de pool de identidade utilizáveis, funções assumíveis em tokens de id, etc.
Para uma descrição das funções dos módulos, consulte a parte 2 do post do blog. Para instruções de instalação, consulte a página principal do Pacu.
Uso
Uso de ataque cognito__attack de amostra para tentar a criação de usuários e todos os vetores de escalonamento de privilégios contra um pool de identidade e cliente de pool de usuários específicos:
Exemplo de uso do cognito__enum para reunir todos os grupos de usuários, clientes de grupos de usuários, pools de identidade, usuários, etc. visíveis na conta AWS atual:
Cognito Scanner é uma ferramenta CLI em python que implementa diferentes ataques no Cognito, incluindo a criação indesejada de contas e oráculo de contas.
Instalação
Uso
Para mais informações, consulte https://github.com/padok-team/cognito-scanner
Registro
Os Grupos de Usuários permitem, por padrão, registrar novos usuários.
Se qualquer pessoa pode se registrar
Você pode encontrar um erro indicando que você precisa fornecer mais detalhes sobre o usuário:
Você pode fornecer os detalhes necessários com um JSON, como:
Você também pode usar essa funcionalidade para enumerar usuários existentes. Esta é a mensagem de erro quando um usuário já existe com esse nome:
Observe no comando anterior como os atributos personalizados começam com "custom:". Saiba também que ao se registrar, você não pode criar novos atributos personalizados para o usuário. Você só pode atribuir valor aos atributos padrão (mesmo que não sejam obrigatórios) e aos atributos personalizados especificados.
Ou apenas para testar se um ID de cliente existe. Este é o erro se o ID do cliente não existir:
Se apenas o administrador pode registrar usuários
Você encontrará esse erro e não poderá registrar ou enumerar usuários:
Verificação de Registro
O Cognito permite verificar um novo usuário verificando seu e-mail ou número de telefone. Portanto, ao criar um usuário, geralmente será necessário pelo menos o nome de usuário e senha e o e-mail e/ou número de telefone. Basta definir um que você controle para receber o código e verificar sua conta de usuário recém-criada como este:
Mesmo que pareça que você pode usar o mesmo e-mail e número de telefone, quando precisar verificar o usuário criado, o Cognito reclamará sobre o uso das mesmas informações e não permitirá que você verifique a conta.
Escalação de Privilégios / Atualização de Atributos
Por padrão, um usuário pode modificar o valor de seus atributos com algo como:
Privilégio de atributo personalizado
Você pode encontrar atributos personalizados sendo usados (como isAdmin
), pois por padrão você pode alterar os valores de seus próprios atributos, você pode ser capaz de aumentar os privilégios alterando o valor você mesmo!
Privilégio de modificação de e-mail/nome de usuário
Você pode usar isso para modificar o e-mail e o número de telefone de um usuário, mas então, mesmo que a conta permaneça como verificada, esses atributos são definidos como não verificados (você precisa verificá-los novamente).
Você não poderá fazer login com e-mail ou número de telefone até verificá-los, mas você será capaz de fazer login com o nome de usuário.
Observe que mesmo que o e-mail tenha sido modificado e não verificado, ele aparecerá no Token de ID dentro do campo email
e o campo email_verified
será falso, mas se o aplicativo não estiver verificando isso, você pode se passar por outros usuários.
Além disso, observe que você pode colocar qualquer coisa dentro do campo name
apenas modificando o atributo de nome. Se um aplicativo estiver verificando aquele campo por algum motivo em vez do email
(ou qualquer outro atributo), você pode se passar por outros usuários.
De qualquer forma, se por algum motivo você alterou seu e-mail, por exemplo, para um novo, você pode confirmar o e-mail com o código que você recebeu nesse endereço de e-mail:
Utilize phone_number
em vez de email
para alterar/verificar um novo número de telefone.
O administrador também pode habilitar a opção de login com um nome de usuário preferido pelo usuário. Observe que você não poderá alterar esse valor para qualquer nome de usuário ou preferred_username que já esteja em uso para se passar por um usuário diferente.
Recuperar/Alterar Senha
É possível recuperar uma senha apenas sabendo o nome de usuário (ou email ou telefone são aceitos) e tendo acesso a ele, pois um código será enviado lá:
A resposta do servidor sempre será positiva, como se o nome de usuário existisse. Você não pode usar este método para enumerar usuários.
Com o código, você pode alterar a senha com:
Para alterar a senha, você precisa saber a senha anterior:
Autenticação
Um pool de usuários suporta diferentes formas de autenticação. Se você tiver um nome de usuário e senha, também existem métodos diferentes suportados para fazer login. Além disso, quando um usuário é autenticado no Pool, 3 tipos de tokens são fornecidos: O Token de ID, o Token de Acesso e o Token de Atualização.
Token de ID: Ele contém informações sobre a identidade do usuário autenticado, como
nome
,e-mail
enúmero de telefone
. O token de ID também pode ser usado para autenticar usuários em seus servidores de recursos ou aplicativos de servidor. Você deve verificar a assinatura do token de ID antes de confiar em qualquer informação dentro do token de ID se você o usar em aplicativos externos.O Token de ID é o token que contém os valores dos atributos do usuário, inclusive os personalizados.
Token de Acesso: Ele contém informações sobre o usuário autenticado, uma lista dos grupos do usuário e uma lista de escopos. O objetivo do token de acesso é autorizar operações de API no contexto do usuário no pool de usuários. Por exemplo, você pode usar o token de acesso para conceder ao seu usuário acesso para adicionar, alterar ou excluir atributos do usuário.
Token de Atualização: Com tokens de atualização, você pode obter novos Tokens de ID e Tokens de Acesso para o usuário até que o token de atualização seja inválido. Por padrão, o token de atualização expira 30 dias após seu usuário do aplicativo entrar no seu pool de usuários. Quando você cria um aplicativo para o seu pool de usuários, você pode definir a expiração do token de atualização do aplicativo para qualquer valor entre 60 minutos e 10 anos.
ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH
Este é o fluxo de autenticação do lado do servidor:
O aplicativo do lado do servidor chama a operação de API
AdminInitiateAuth
(em vez deInitiateAuth
). Esta operação requer credenciais da AWS com permissões que incluemcognito-idp:AdminInitiateAuth
ecognito-idp:AdminRespondToAuthChallenge
. A operação retorna os parâmetros de autenticação necessários.Depois que o aplicativo do lado do servidor tem os parâmetros de autenticação, ele chama a operação de API
AdminRespondToAuthChallenge
. A operação de APIAdminRespondToAuthChallenge
só tem sucesso quando você fornece credenciais da AWS.
Este método NÃO está habilitado por padrão.
Para fazer login, você precisa saber:
ID do pool de usuários
ID do cliente
nome de usuário
senha
segredo do cliente (apenas se o aplicativo estiver configurado para usar um segredo)
Para poder fazer login com este método, o aplicativo deve permitir o login com ALLOW_ADMIN_USER_PASSWORD_AUTH
.
Além disso, para realizar esta ação, você precisa de credenciais com as permissões cognito-idp:AdminInitiateAuth
e cognito-idp:AdminRespondToAuthChallenge
Última actualización