我列出了在网站上测试 2FA 或 MFA 时可能遇到的漏洞点,以及如何利用它们。
在对许多善网站进行渗透测试时,您会发现它们普遍有 2FA(双因素身份验证)或 MFA(多因素身份验证)。这增加了针额外安全层,但按照惯例,白帽子也找到了各种绕过它的方法。
这篇文章记录了 13 种最佳利用方法
-
响应/状态代码操作(将 403 权限更改为 200 'ok')
-
使用 Burpsuite 等工具暴力破解 OTP。
-
Permanet OTP:使用后不会过期,或者即使代码在 3-4 小时后也不会过期。
-
从帐户“攻击者”和“受害者”请求 2 个令牌。在受害者的帐户中使用攻击者的令牌。
-
尝试在不解决 2FA 的情况下直接转到仪表板 URL。如果失败,请尝试在去往仪表板的同一请求中将引荐标头添加到 2FA 页面 url。
-
使用 Burp 搜索在 2FA 代码中搜索响应或 Javascript 文件 (.js)。
-
CSRF/点击劫持以禁用 2FA。
-
启用 2FA 不会使以前的会话过期。
-
密码可以在没有 2FA 的情况下通过忘记密码来重置,或者可以在没有 2FA 代码的情况下在个人设置中禁用 2FA。
-
在代码中输入 0。例如,如果它是 6 位代码,则使用 000000 作为 2FA。
-
请求操作:空 JSON 响应,将“OTP required”参数从true更改为false,删除 2fa 代码,删除代码和参数,在 JSON 中将电子邮件作为数组提供。
-
您可以在登录后使用以下请求获取备份代码:
POST /api/enable-2fa HTTP/1.1
Host: website.com
........
{"action":"backup_codes","email":"[email protected]"}
13. 尝试在不解决 2fa 的情况下执行不同的身份验证请求(配置文件详细信息更改,甚至密码/2FA 设置更改等)。
ps:更多信息(https://thegrayarea.tech/p1-bug-bounties-multi-factor-authentication-bypass-ca040180ab3f)
原文始发于微信公众号(军机故阁):2FA 的SRC终极漏洞挖掘手段
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论