2FA/MFA/OTP Bypass
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per bypassare il 2FA, accedi direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non riesci, modifica l'header Referrer per imitare la navigazione dalla pagina di verifica 2FA.
Riutilizzare token precedentemente usati per l'autenticazione all'interno di un account può essere efficace.
Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.
Indaga se il token è divulgato in una risposta dall'applicazione web.
Utilizzare il link di verifica email inviato al momento della creazione dell'account può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato post.
Iniziare sessioni sia per l'account dell'utente che per quello di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passo successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni backend.
Indagare sulla funzione di reset della password, che accede all'applicazione dopo il reset, per il suo potenziale di consentire più reset utilizzando lo stesso link è cruciale. Accedere con le credenziali appena resetate potrebbe bypassare il 2FA.
Compromettere l'account di un utente su una piattaforma OAuth fidata (es. Google, Facebook) può offrire un percorso per bypassare il 2FA.
L'assenza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se si dovrebbe considerare un potenziale limitamento silenzioso della frequenza.
Nota che anche se è in atto un limite di frequenza, dovresti provare a vedere se la risposta è diversa quando viene inviato l'OTP valido. In questo post, il cacciatore di bug ha scoperto che anche se un limite di frequenza viene attivato dopo 20 tentativi non riusciti rispondendo con 401, se quello valido veniva inviato, si riceveva una risposta 200.
Un attacco di forza bruta lento è praticabile dove esistono limiti di flusso senza un limite generale.
Reinviare il codice resetta il limite di frequenza, facilitando ulteriori tentativi di forza bruta.
Un documento dettaglia tecniche per bypassare il limitamento della frequenza lato client.
I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.
Il reinvio eccessivo di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.
La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo insieme di codici.
Sfruttare le condizioni di gara per bypassare il 2FA può essere trovato in un documento specifico.
Esplorare vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia praticabile.
Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.
Impersonare l'indirizzo IP della vittima tramite l'header X-Forwarded-For può bypassare le restrizioni.
Testare i sottodomini può utilizzare versioni obsolete prive di supporto per il 2FA o contenere implementazioni vulnerabili del 2FA.
Versioni API più vecchie, indicate da percorsi di directory /v*/ , possono essere vulnerabili a metodi di bypass del 2FA.
Terminare le sessioni esistenti al momento dell'attivazione del 2FA protegge gli account da accessi non autorizzati da sessioni compromesse.
La generazione immediata e il potenziale recupero non autorizzato di codici di backup al momento dell'attivazione del 2FA, specialmente con configurazioni errate di CORS/vulnerabilità XSS, rappresentano un rischio.
La divulgazione di informazioni sensibili (es. numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.
Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione di un account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.
Utilizzare richieste di diversione per offuscare i tentativi di forza bruta o fuorviare i meccanismi di limitazione della frequenza aggiunge un ulteriore livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.
Nel caso in cui l'OTP venga creato in base a dati che l'utente ha già o che vengono inviati precedentemente per creare l'OTP, è possibile che l'utente possa generarlo e bypassarlo.
P
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)