Обход AWS Cognito, cognitoAsfData сгенерирован.

Обход AWS Cognito без браузера. Takion генерирует валидную строку cognitoAsfData для вашего входа за один вызов, чтобы ваш вход в Cognito проходил проверку расширенной безопасности.

Последнее обновление · Покрытие протестировано на живой цели AWS Cognito.

AWS Cognito вас блокирует?

Когда платформа включает расширенную безопасность Cognito (ASF), её форма входа ждёт строку cognitoAsfData — блоб device-data, привязанный к деталям вашего браузера и email, под которым вы входите. Takion генерирует эту строку на своей стороне, без браузера у вас, и возвращает её готовой к отправке. Отправьте её вместе с запросом на вход — и Cognito примет вход.

Доступ к пробной версии ограничен

Cognito ASF защищает входы, поэтому обход может открыть путь к захвату аккаунтов. Пробный доступ выдаётся не автоматически. Сначала свяжитесь с нами и расскажите о своём сценарии использования.

Как работает AWS Cognito

AWS Cognito — это сервис аутентификации от Amazon, и некоторые платформы включают его функции расширенной безопасности (ASF), чтобы оценивать входы. Когда они это делают, форма входа должна нести строку cognitoAsfData — блоб device-data, построенный из деталей браузера и точного используемого email. Отправьте вход без неё или с устаревшей — и Cognito отклонит попытку.

Takion генерирует валидную cognitoAsfData для вашего целевого домена и email на своей стороне и возвращает её готовой к отправке. Один вызов, без браузера. Вы вставляете её в запрос на вход вместе с логином и паролем — и Cognito принимает вход.

  • Проверки, которые закрывает Takion
  • Расширенная безопасность Cognito (ASF)
  • cognitoAsfData при входе
  • Device-data, привязанные к email
  • Фингерпринтинг по деталям браузера

Что возвращает один вызов

Один вызов эндпоинта Cognito возвращает валидную строку cognitoAsfData для вашего домена и email входа — готовую к отправке вместе с входом.

cognitoAsfData

строка device-data расширенной безопасности, которую вы отправляете вместе со входом в Cognito

curl -X POST https://cognito.takionapi.tech/generate \
  -H "Authorization: Bearer $TAKION_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "domain": "main.login.ticketmaster.sg", "email": "[email protected]" }'
# → { "cognitoAsfData": "<the string to post with the login form>" }

Читать документацию по AWS CognitoОдин ключ на все стены. Одна структура JSON для каждого вендора.

How the AWS Cognito bypass works, end to end

No browser, no rendered login. Site plus username in, cognitoAsfData out, token on the sign-in.

  1. 1

    You hit the login page

    Load the Cognito sign-in page and gather your session details: the User-Agent, the client hints, and the email you will authenticate with.

  2. 2

    You call generate

    Send the /generate endpoint the website domain and the username. Pass your User-Agent, Sec-Ch-Ua, and Accept-Language too so the token matches the fingerprint you will log in with.

  3. 3

    We build the ASF data server-side

    Takion assembles the cognitoAsfData from the browser signals Cognito's advanced security expects, and binds it to that exact email. No browser runs on your end.

  4. 4

    You read the token

    Pull the token out of the JSON response. That string is your cognitoAsfData.

  5. 5

    You post the login and you are in

    Send the token as the cognitoAsfData form field next to the username and password. Cognito's advanced-security check passes and the sign-in goes through.

The Cognito call, decoded

Two params in, one token out. Here is exactly what moves:

website
the login domain you are authenticating against, e.g. main.login.ticketmaster.sg
username
the exact email you are signing in with; the token is bound to it, so it is generated per account
User-Agent + Sec-Ch-Ua + Accept-Language
your session headers, optional but recommended; send them and the token matches your fingerprint far more tightly
cognitoAsfData
the device-data string Takion returns; you post it as a form field with the username and password on the login POST

Why request-based beats a headless browser here

The browser way to pass Cognito ASF is to spin up headless Chrome, load the login page, let the Cognito script collect its device signals, scrape the cognitoAsfData it produces, and hope the fingerprint holds. It works until the script changes, and it costs you a browser per login, constant patching, and seconds of render time on every attempt.

Takion skips the browser. We generate the cognitoAsfData the Cognito script would have produced directly from the website, the username, and your session headers, so a token is one HTTP round trip instead of a full page load. No Chrome to babysit, no scraping the blob out of a live DOM, no retries when a container stalls mid-render. You send two params, you get the token.

What gets a Cognito login rejected

A token alone is not enough. Cognito's advanced security rejects the sign-in the moment any of these slip:

  • Missing or stale cognitoAsfData. Post the login without the token, or with an old one, and ASF refuses it. Generate a fresh token for the attempt.
  • Email mismatch. The token is bound to the username it was generated for. Generate it for one email and sign in with another and Cognito flags it.
  • Fingerprint drift. Generate with one User-Agent and client hints, then log in with a different set, and the ASF data no longer matches the request. Keep the signals identical on both calls.
  • Missing CSRF token. Cognito's login form wants its _csrf value from the session. Load the login page first, carry the cookie, and send it with the POST.
  • Front-door challenge not cleared. Some Cognito logins sit behind another wall first. Ticketmaster SG fronts an Incapsula reese84 check before you reach the sign-in, so clear that too or the login never lands.

The one rule that kills most rejected logins

Generate the cognitoAsfData with the same User-Agent, client hints, and email you send on the login, and request a fresh one per account. Cognito's whole ASF model is matching the token to the request. Match it and the sign-in clears.

Некоторые сайты на AWS Cognito

AWS Cognito защищает эти сайты. Takion проходит его на каждом, так что обход ticketmaster sg это тот же один POST, что и любая другая стена.

FAQ по обходу AWS Cognito

Да. Takion строит валидную cognitoAsfData для вашего домена и email входа и возвращает её готовой к отправке вместе с запросом на вход в Cognito.
Cognito привязывает данные ASF к точному аутентифицируемому email, поэтому строка генерируется под каждый вход. Передайте email, под которым выполняете вход, и Takion зашьёт его внутрь.
Да. Ticketmaster SG использует Cognito ASF на входе; Takion возвращает для него cognitoAsfData, а вы отправляете её вместе с формой входа.

Любая другая стена

Запустите обход AWS Cognito уже сегодня.

Бесплатный доступ, потом один ключ на все стены. Первый вызов — меньше чем за час.