Cognito

Za više informacija, pristupite:

Persistencija korisnika

Cognito je usluga koja omogućava dodelu uloga neautentifikovanim i autentifikovanim korisnicima i kontrolu direktorijuma korisnika. Različite konfiguracije mogu se promeniti kako bi se održala određena persistencija, kao što su:

• Dodavanje korisničkog bazena kontrolisanog od strane korisnika u bazen identiteta

• Dodeljivanje IAM uloge neautentifikovanom bazenu identiteta i omogućavanje osnovnog autentifikacionog toka

• Ili autentifikovanom bazenu identiteta ako napadač može da se prijavi

• Ili unapređivanje dozvola dodeljenih uloga

• Kreiranje, provera & privesc putem atributa kontrolisanih korisnika ili novih korisnika u korisničkom bazenu

• Omogućavanje spoljnih provajdera identiteta da se prijave u korisnički bazen ili u bazen identiteta

Proverite kako izvršiti ove akcije u

cognito-idp:SetRiskConfiguration

Napadač sa ovlašćenjem može izmeniti konfiguraciju rizika kako bi se mogao prijaviti kao korisnik Cognito bez aktiviranja alarma. Proverite CLI da biste videli sve opcije:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

Po defaultu je ovo onemogućeno: