Обход AWS Cognito, cognitoAsfData сгенерирован.
Обход AWS Cognito без браузера. Takion генерирует валидную строку cognitoAsfData для вашего входа за один вызов, чтобы ваш вход в Cognito проходил проверку расширенной безопасности.
Последнее обновление · Покрытие протестировано на живой цели AWS Cognito.
AWS Cognito вас блокирует?
Когда платформа включает расширенную безопасность Cognito (ASF), её форма входа ждёт строку cognitoAsfData — блоб device-data, привязанный к деталям вашего браузера и email, под которым вы входите. Takion генерирует эту строку на своей стороне, без браузера у вас, и возвращает её готовой к отправке. Отправьте её вместе с запросом на вход — и Cognito примет вход.
Доступ к пробной версии ограничен
Cognito ASF защищает входы, поэтому обход может открыть путь к захвату аккаунтов. Пробный доступ выдаётся не автоматически. Сначала свяжитесь с нами и расскажите о своём сценарии использования.
Как работает AWS Cognito
AWS Cognito — это сервис аутентификации от Amazon, и некоторые платформы включают его функции расширенной безопасности (ASF), чтобы оценивать входы. Когда они это делают, форма входа должна нести строку cognitoAsfData — блоб device-data, построенный из деталей браузера и точного используемого email. Отправьте вход без неё или с устаревшей — и Cognito отклонит попытку.
Takion генерирует валидную cognitoAsfData для вашего целевого домена и email на своей стороне и возвращает её готовой к отправке. Один вызов, без браузера. Вы вставляете её в запрос на вход вместе с логином и паролем — и Cognito принимает вход.
- Проверки, которые закрывает Takion
- Расширенная безопасность Cognito (ASF)
- cognitoAsfData при входе
- Device-data, привязанные к email
- Фингерпринтинг по деталям браузера
Что возвращает один вызов
Один вызов эндпоинта Cognito возвращает валидную строку cognitoAsfData для вашего домена и email входа — готовую к отправке вместе с входом.
cognitoAsfDataстрока device-data расширенной безопасности, которую вы отправляете вместе со входом в Cognito
curl -X POST https://cognito.takionapi.tech/generate \
-H "Authorization: Bearer $TAKION_KEY" \
-H "Content-Type: application/json" \
-d '{ "domain": "main.login.ticketmaster.sg", "email": "[email protected]" }'
# → { "cognitoAsfData": "<the string to post with the login form>" }Читать документацию по AWS CognitoОдин ключ на все стены. Одна структура JSON для каждого вендора.
How the AWS Cognito bypass works, end to end
No browser, no rendered login. Site plus username in, cognitoAsfData out, token on the sign-in.
- 1
You hit the login page
Load the Cognito sign-in page and gather your session details: the User-Agent, the client hints, and the email you will authenticate with.
- 2
You call generate
Send the /generate endpoint the website domain and the username. Pass your User-Agent, Sec-Ch-Ua, and Accept-Language too so the token matches the fingerprint you will log in with.
- 3
We build the ASF data server-side
Takion assembles the cognitoAsfData from the browser signals Cognito's advanced security expects, and binds it to that exact email. No browser runs on your end.
- 4
You read the token
Pull the token out of the JSON response. That string is your cognitoAsfData.
- 5
You post the login and you are in
Send the token as the cognitoAsfData form field next to the username and password. Cognito's advanced-security check passes and the sign-in goes through.
The Cognito call, decoded
Two params in, one token out. Here is exactly what moves:
website- the login domain you are authenticating against, e.g.
main.login.ticketmaster.sg username- the exact email you are signing in with; the token is bound to it, so it is generated per account
User-Agent + Sec-Ch-Ua + Accept-Language- your session headers, optional but recommended; send them and the token matches your fingerprint far more tightly
cognitoAsfData- the device-data string Takion returns; you post it as a form field with the username and password on the login POST
Why request-based beats a headless browser here
The browser way to pass Cognito ASF is to spin up headless Chrome, load the login page, let the Cognito script collect its device signals, scrape the cognitoAsfData it produces, and hope the fingerprint holds. It works until the script changes, and it costs you a browser per login, constant patching, and seconds of render time on every attempt.
Takion skips the browser. We generate the cognitoAsfData the Cognito script would have produced directly from the website, the username, and your session headers, so a token is one HTTP round trip instead of a full page load. No Chrome to babysit, no scraping the blob out of a live DOM, no retries when a container stalls mid-render. You send two params, you get the token.
What gets a Cognito login rejected
A token alone is not enough. Cognito's advanced security rejects the sign-in the moment any of these slip:
- Missing or stale cognitoAsfData. Post the login without the token, or with an old one, and ASF refuses it. Generate a fresh token for the attempt.
- Email mismatch. The token is bound to the username it was generated for. Generate it for one email and sign in with another and Cognito flags it.
- Fingerprint drift. Generate with one User-Agent and client hints, then log in with a different set, and the ASF data no longer matches the request. Keep the signals identical on both calls.
- Missing CSRF token. Cognito's login form wants its
_csrfvalue from the session. Load the login page first, carry the cookie, and send it with the POST. - Front-door challenge not cleared. Some Cognito logins sit behind another wall first. Ticketmaster SG fronts an Incapsula
reese84check before you reach the sign-in, so clear that too or the login never lands.
The one rule that kills most rejected logins
Generate the cognitoAsfData with the same User-Agent, client hints, and email you send on the login, and request a fresh one per account. Cognito's whole ASF model is matching the token to the request. Match it and the sign-in clears.
Некоторые сайты на AWS Cognito
AWS Cognito защищает эти сайты. Takion проходит его на каждом, так что обход ticketmaster sg это тот же один POST, что и любая другая стена.
вход
FAQ по обходу AWS Cognito
- Да. Takion строит валидную cognitoAsfData для вашего домена и email входа и возвращает её готовой к отправке вместе с запросом на вход в Cognito.
- Cognito привязывает данные ASF к точному аутентифицируемому email, поэтому строка генерируется под каждый вход. Передайте email, под которым выполняете вход, и Takion зашьёт его внутрь.
- Да. Ticketmaster SG использует Cognito ASF на входе; Takion возвращает для него cognitoAsfData, а вы отправляете её вместе с формой входа.
Любая другая стена
Запустите обход AWS Cognito уже сегодня.
Бесплатный доступ, потом один ключ на все стены. Первый вызов — меньше чем за час.