攻撃対象領域

Amazon Cognito は認証を管理するための効果的で安全なソリューションですが、トークンの保管メカニズムに重大な欠陥があって。
具体的には、Cognito はブラウザのローカル ストレージに認証トークンを保存し。

トークンをローカル ストレージに保存すると、いくつかのセキュリティ上の脆弱性が生じ。
ローカル ストレージは JavaScript を通じてアクセスできるため、クロスサイト スクリプティング (XSS) 攻撃の影響を受けやすくなり。
攻撃者が Web アプリケーションに悪意のあるスクリプトを挿入できる場合、これらのトークンにアクセスしてトークンの盗難につながる可能性があって。
これにより、攻撃者がユーザーになりすまし、機密情報やリソースに不正にアクセスできるようになり。

搾取

この情報を念頭に置いて、私はこの侵入テスト中に XSS の脆弱性を見つけることに重点を置き。
いくつか調べた結果、アイテムの削除などの特定のアクション中に表示されるエラー メッセージと通知メッセージ内で HTML レンダリングが行われていることに気付いて。
このエラーは、ページ上の一部の項目に設定できたタイトルを反映して。 幸いなことに、タイトルの長さはほぼ無制限だったので、これをさらに活用することができ。

ただし、Web アプリケーション ファイアウォール (WAF) の存在により、試したほぼすべてのエクスプロイトがブロックされるため、これは非常に困難で。
ブロックされなかったいくつかの基本的な HTML タグを渡すことができたにもかかわらず、WAF は、試したほぼすべてのバイパスおよび難読化テクニックを検出し。
2018 年 2 月 27 日に次のような非常に興味深い Cloudflare バイパスを見つけるまでは: 

DOM では次のように変換され。

そして本質的には次のことを意味します:

最後に、JavaScript を悪用してローカル ストレージを取得し、サーバーに送信することができて。
ただし、ブラウザは次の方法で CORS リクエストを行うことを拒否し。 fetchアプリケーションにはヘッダーが存在しないため、ブラウザーはデフォルトでより厳格なポリシーを使用することになり。
幸いなことに、単純なイメージを使用して、 src属性をサーバーに追加し、ローカル ストレージ データを含む GET パラメーターを追加して。
これを行う単純な JS ペイロードを次に示します (きれいにフォーマットされています)。

受け取ることです idToken を を取得するための認証フローで使用される 最も重要なのは、 X-Amz-Security-Token 。
このトークンは、JWT と同様に、すべての認証されたリクエストで使用され。
このトークンを使用すると、ペイロードをクリックした被害者として基本的にログインできるようになって。

ほなほな。