2FA/MFA/OTP Bypass

強化された二要素認証バイパステクニック

直接エンドポイントアクセス

2FAをバイパスするには、パスを知っていることが重要で、次のエンドポイントに直接アクセスします。失敗した場合は、Referrerヘッダーを変更して2FA検証ページからのナビゲーションを模倣します。

トークン再利用

アカウント内で以前に使用されたトークンを再利用することが効果的です。

未使用トークンの利用

自分のアカウントからトークンを抽出して、別のアカウントの2FAをバイパスすることを試みることができます。

トークンの露出

ウェブアプリケーションからの応答にトークンが開示されているかどうかを調査します。

検証リンクの悪用

アカウント作成時に送信されたメール検証リンクを使用することで、2FAなしでプロファイルにアクセスできる場合があります。詳細は投稿を参照してください。

セッション操作

ユーザーのアカウントと被害者のアカウントの両方のセッションを開始し、ユーザーのアカウントの2FAを完了せずに次のステップにアクセスを試みることで、被害者のアカウントフローにアクセスすることができます。バックエンドのセッション管理の制限を悪用します。

パスワードリセットメカニズム

パスワードリセット機能を調査し、リセット後にユーザーをアプリケーションにログインさせる可能性があるかどうかを確認します。同じリンクを使用して複数回リセットできる可能性があります。新しくリセットされた資格情報でログインすることで2FAをバイパスできるかもしれません。

OAuthプラットフォームの妥協

信頼されたOAuthプラットフォーム（例：Google、Facebook）でユーザーのアカウントを妥協させることで、2FAをバイパスするルートを提供できます。

ブルートフォース攻撃

レート制限の欠如

コードの試行回数に制限がないため、ブルートフォース攻撃が可能ですが、潜在的なサイレントレート制限を考慮する必要があります。

レート制限がある場合でも、有効なOTPが送信されたときの応答が異なるかどうかを確認するべきです。この投稿では、バグハンターが20回の失敗した試行の後にレート制限がトリガーされ、401で応答された場合でも、有効なものが送信された場合は200の応答が受信されたことを発見しました。

スローブルートフォース

流れのレート制限が存在する場合、スローブルートフォース攻撃が可能です。

コード再送信制限のリセット

コードを再送信するとレート制限がリセットされ、ブルートフォース試行を続けることができます。

クライアントサイドレート制限の回避

クライアントサイドのレート制限を回避するための技術が文書化されています。

内部アクションにレート制限がない

ログイン試行を保護するレート制限があるかもしれませんが、内部アカウントアクションには適用されない場合があります。

SMSコード再送信のコスト

SMS経由でのコードの過剰な再送信は、会社にコストがかかりますが、2FAをバイパスすることはありません。

無限OTP再生成

単純なコードで無限のOTP生成が可能であり、小さなコードセットを再試行することでブルートフォースが可能です。

レースコンディションの悪用

2FAバイパスのためのレースコンディションの悪用は、特定の文書に記載されています。

CSRF/クリックジャッキングの脆弱性

CSRFまたはクリックジャッキングの脆弱性を探求して2FAを無効にすることは、実行可能な戦略です。

「ログイン状態を保持」機能の悪用

予測可能なクッキー値

「ログイン状態を保持」クッキーの値を推測することで制限をバイパスできます。

IPアドレスの偽装

X-Forwarded-Forヘッダーを通じて被害者のIPアドレスを偽装することで制限をバイパスできます。

古いバージョンの利用

サブドメイン

サブドメインをテストすることで、2FAサポートがない古いバージョンや脆弱な2FA実装を使用する可能性があります。

APIエンドポイント

/v*/ディレクトリパスで示される古いAPIバージョンは、2FAバイパスメソッドに対して脆弱である可能性があります。

以前のセッションの取り扱い

2FAが有効化された際に既存のセッションを終了させることで、侵害されたセッションからの不正アクセスからアカウントを保護します。

バックアップコードに関するアクセス制御の欠陥

2FAが有効化された際にバックアップコードが即座に生成され、潜在的に不正に取得されるリスクがある、特にCORSの誤設定/XSSの脆弱性がある場合です。

2FAページでの情報開示

2FA検証ページでの機密情報の開示（例：電話番号）は懸念事項です。

パスワードリセットによる2FAの無効化

アカウント作成、2FAの有効化、パスワードリセット、そしてその後の2FA要件なしでのログインを示すプロセスが、潜在的なバイパス方法を示しています。

デコイリクエスト

デコイリクエストを利用してブルートフォース試行を隠蔽したり、レート制限メカニズムを誤解させたりすることで、バイパス戦略に別の層を追加します。このようなリクエストを作成するには、アプリケーションのセキュリティ対策とレート制限の挙動に対する微妙な理解が必要です。

OTP構築エラー

OTPがユーザーが既に持っているデータに基づいて作成される場合、またはOTPを作成するために以前に送信されたデータに基づいている場合、ユーザーがそれを生成してバイパスすることが可能です。

参考文献

• https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35

• https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718

• https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116_1d0f6ce59992222b0812b7cab19a4bce

P