Cognitoユーザープールに潜む罠　～それってそんな意味だったの！？～ by 廣田一貴

Cognitoは手軽に認証基盤を構築できる一方で、各設定の意味や仕様を正しく理解していないと脆弱性つながりかねない「罠」が潜んでいます。
しかし、ぱっと見ただけでは想定通りに動いてるように見えるため、罠に気付けないことも。

本セッションでは、Cognitoユーザ―プールを使ったアプリを開発時に陥りがちな罠と、それによってどのような攻撃や被害を受ける可能性があるのかを解説します。
Cognitoを使うことになった際に「そういえば、この設定にはこんな罠があったな」と思い出してもらえれば幸いです。

罠の例：「従来のウェブアプリケーション」ならクライアントシークレットが必要なので、ユーザが勝手にAPIを操作することはない

なお、本セッションでは上記目的のため罠に関する説明を中心とし攻撃手法については概念的な手順紹介に留め、具体的な攻撃手法等は取り扱わない予定です。