AWS - Cognito Unauthenticated Enum
Cognito Isiyothibitishwa
Cognito ni huduma ya AWS inayowezesha watengenezaji ku kupatia watumiaji wa programu yao ufikiaji wa huduma za AWS. Watengenezaji watapata vivinjari vya IAM kwa watumiaji waliothibitishwa kwenye programu yao (labda watu wanaweza tu kujiandikisha) na wanaweza pia kupatia vivinjari vya IAM kwa watumiaji wasiothibitishwa.
Kwa habari za msingi kuhusu Cognito angalia:
pageAWS - Cognito EnumModuli za Pacu kwa udukuzi na uchambuzi
Pacu, fremu ya udukuzi ya AWS, sasa inajumuisha moduli za "cognito__enum" na "cognito__attack" ambazo zinautomatisha uchambuzi wa mali zote za Cognito kwenye akaunti na kuashiria mipangilio dhaifu, sifa za mtumiaji zinazotumiwa kwa kudhibiti ufikiaji, n.k., na pia kiotomatiki uundaji wa mtumiaji (ikiwa ni pamoja na usaidizi wa MFA) na upandishaji wa mamlaka kulingana na sifa za desturi zinazoweza kuhaririwa, sifa za kitambulisho zinazoweza kutumiwa, majukumu yanayoweza kuchukuliwa katika alama za kitambulisho, n.k.
Kwa maelezo ya kazi za moduli angalia sehemu ya 2 ya machapisho ya blogi. Kwa maelekezo ya usakinishaji angalia ukurasa wa kuu wa Pacu.
Matumizi
Matumizi ya mfano ya cognito__attack kujaribu uundaji wa mtumiaji na vekta zote za upandishaji wa mamlaka dhidi ya dimbwi la kitambulisho lililotolewa na mteja wa dimbwi la watumiaji:
Mfano wa matumizi ya cognito__enum kukusanya mabwawa yote ya watumiaji, wateja wa bwawa la watumiaji, mabwawa ya utambulisho, watumiaji, n.k. yanayoonekana kwenye akaunti ya AWS ya sasa:
Kitambulisho la Dimbwi la Utambulisho
Dimbwi za Utambulisho zinaweza kutoa vivutio vya IAM kwa watumiaji wasiothibitishwa ambao tu wanajua Kitambulisho cha Dimbwi la Utambulisho (ambacho ni cha kawaida kupata), na mshambuliaji mwenye habari hii anaweza kujaribu kupata ufikiaji wa jukumu hilo la IAM na kulitumia. Zaidi ya hayo, vivutio vya IAM vinaweza pia kupewa watumiaji waliothibitishwa wanaopata Dimbwi la Utambulisho. Ikiwa mshambuliaji anaweza kujiandikisha kama mtumiaji au tayari ana ufikiaji wa mtoa huduma ya utambulisho inayotumiwa katika dimbwi la utambulisho, unaweza kupata ufikiaji wa jukumu la IAM linalotolewa kwa watumiaji waliothibitishwa na kutumia mamlaka yake.
Angalia jinsi ya kufanya hivyo hapa.
Kitambulisho la Dimbwi la Watumiaji
Kwa chaguo-msingi, Cognito inaruhusu kujiandikisha kama mtumiaji mpya. Kuweza kujiandikisha kama mtumiaji kunaweza kukupa ufikiaji kwa programu inayofunika au kwa jukumu la ufikiaji wa IAM lililothibitishwa la Dimbwi la Utambulisho linalokubali mtoa huduma ya utambulisho kama Dimbwi la Watumiaji la Cognito. Angalia jinsi ya kufanya hivyo hapa.
Last updated