2FA/MFA/OTP Bypass

Tecniche di Bypass dell'Autenticazione a Due Fattori Migliorate

Accesso Diretto all'Endpoint

Per bypassare il 2FA, accedi direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non riesci, modifica l'header Referrer per imitare la navigazione dalla pagina di verifica 2FA.

Riutilizzo del Token

Riutilizzare token precedentemente usati per l'autenticazione all'interno di un account può essere efficace.

Utilizzo di Token Non Utilizzati

Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.

Esposizione del Token

Indaga se il token è divulgato in una risposta dall'applicazione web.

Sfruttamento del Link di Verifica

Utilizzare il link di verifica email inviato al momento della creazione dell'account può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato post.

Manipolazione della Sessione

Iniziare sessioni sia per l'account dell'utente che per quello di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passaggio successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni backend.

Meccanismo di Reset della Password

Indagare sulla funzione di reset della password, che accede all'applicazione dopo il reset, per il suo potenziale di consentire più reset utilizzando lo stesso link è cruciale. Accedere con le credenziali appena resetate potrebbe bypassare il 2FA.

Compromissione della Piattaforma OAuth

Compromettere l'account di un utente su una piattaforma OAuth fidata (es. Google, Facebook) può offrire un percorso per bypassare il 2FA.

Attacchi di Forza Bruta

Assenza di Limite di Frequenza

La mancanza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se si dovrebbe considerare un potenziale limitamento silenzioso della frequenza.

Forza Bruta Lenta

Un attacco di forza bruta lento è praticabile dove esistono limiti di flusso senza un limite generale di frequenza.

Ripristino del Limite di Invio del Codice

Reinviare il codice ripristina il limite di frequenza, facilitando tentativi di forza bruta continuati.

Circumvenzione del Limite di Frequenza Client-Side

Un documento dettaglia tecniche per bypassare il limitamento della frequenza client-side.

Azioni Interne Senza Limite di Frequenza

I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.

Costi di Reinvi del Codice SMS

Il reinvio eccessivo di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.

Rigenerazione Infinita di OTP

La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo set di codici.

Sfruttamento delle Condizioni di Gara

Sfruttare le condizioni di gara per bypassare il 2FA può essere trovato in un documento specifico.

Vulnerabilità CSRF/Clickjacking

Esplorare vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia praticabile.

Sfruttamenti della Funzione "Ricordami"

Valori di Cookie Prevedibili

Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.

Impersonificazione dell'Indirizzo IP

Impersonare l'indirizzo IP della vittima tramite l'header X-Forwarded-For può bypassare le restrizioni.

Utilizzo di Versioni Più Vecchie

Sottodomini

Testare i sottodomini può utilizzare versioni obsolete prive di supporto per il 2FA o contenere implementazioni vulnerabili del 2FA.

Endpoint API

Versioni API più vecchie, indicate da percorsi di directory /v*/, possono essere vulnerabili ai metodi di bypass del 2FA.

Gestione delle Sessioni Precedenti

Terminare le sessioni esistenti al momento dell'attivazione del 2FA protegge gli account da accessi non autorizzati da sessioni compromesse.

Flaws di Controllo degli Accessi con Codici di Backup

La generazione immediata e il potenziale recupero non autorizzato di codici di backup al momento dell'attivazione del 2FA, specialmente con configurazioni errate di CORS/vulnerabilità XSS, rappresentano un rischio.

Divulgazione di Informazioni sulla Pagina 2FA

La divulgazione di informazioni sensibili (es. numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.

Reset della Password Disabilitando il 2FA

Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione di un account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.

Richieste di Diversione

Utilizzare richieste di diversione per offuscare i tentativi di forza bruta o fuorviare i meccanismi di limitazione della frequenza aggiunge un ulteriore livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.

Errori di Costruzione OTP

Nel caso in cui l'OTP venga creato in base a dati che l'utente ha già o che vengono inviati precedentemente per creare l'OTP, è possibile per l'utente generarlo e bypassarlo.

Riferimenti

• https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35

• https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718

• https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116_1d0f6ce59992222b0812b7cab19a4bce

P