Slide 44
Slide 44 text
Security-JAWS 第20回 Session: 03 Serverless applicationとセキュリティ @a_zara_n
本来のアカウント作成フローからの逸脱
この攻撃でログインが成功してもアプリが利⽤できない場合も
1. Cognitoの新規登録で必要とされなかった属性がアプリ内
で必須として利⽤されている場合
=> アプリケーションでエラーが発⽣し利⽤できない
2. アプリケーションが独⾃に持っている認可機構で弾いている
=> Cognitoの何かしらの属性とアプリケーションが保持し
ている情報を照合している可能性