AWS - Cognito Persistence

Cognito

Для отримання додаткової інформації перейдіть за посиланням:

Збереження користувача

Cognito - це сервіс, який дозволяє надавати ролі невідомим та автентифікованим користувачам та керувати каталогом користувачів. Щоб забезпечити деяку стійкість, можна змінити кілька різних конфігурацій, таких як:

• Додавання пулу користувачів, керованого користувачем, до пулу ідентифікаторів

• Надати IAM-роль невідомому пулу ідентифікаторів та дозволити базовий потік аутентифікації

• Або до пулу ідентифікаторів автентифікованих користувачів, якщо зловмисник може увійти

• Або покращити дозволи наданих ролей

• Створити, підтвердити та підняти привілеї через атрибути керованих користувачів або нових користувачів у пулі користувачів

• Дозволити зовнішнім постачальникам ідентичності увійти в пул користувачів або в пул ідентифікаторів

Дізнайтеся, як виконати ці дії в

cognito-idp:SetRiskConfiguration

Зловмисник з цими привілеями може змінити конфігурацію ризику, щоб мати можливість увійти як користувач Cognito без спрацювання тривог. Перевірте CLI, щоб переглянути всі опції:

aws cognito-idp set-risk-configuration --user-pool-id <pool-id> --compromised-credentials-risk-configuration EventFilter=SIGN_UP,Actions={EventAction=NO_ACTION}

За замовчуванням це вимкнено: