Cognito Account Enumeration

Cognito에서 패스워드 기반 로그인 시 사용자 존재 오류 방지 기능이 꺼져있다면, 존재하지 않는 계정과 존재하는 계정으로 로그인을 시도했을 때 서버의 응답 차이로부터 계정 열거가 가능합니다.

Abuse

Demo

References

LogoBypass Cognito Account Enumeration Controls - Hacking The Cloudhackingthe.cloud
PreviousAccount ID EnumerationNextIAM Account Enumeration

Last updated