600美元的简单MFA绕过 - Graphql

admin
admin
admin
138635
文章
114
评论
2024年3月13日16:46:03评论12 views字数 1149阅读3分49秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!

在这篇文章中,我将深入研究我最近的安全测试冒险,重点关注应用程序中的多重身份验证 (MFA) 实现。作为一名产品安全工程师,我始终在寻找漏洞,包括与GraphQL相关的漏洞。

我将分享我尝试绕过MFA的经验,以及我如何在不经过MFA流程的情况下偶然访问经过身份验证的数据。如果您热衷于了解MFA安全性和潜在漏洞,请继续关注我将分享的见解。
测试方法-2FA绕过:https://securitycipher.com/docs/2fa-bypass/测试方法-验证码绕过:https://securitycipher.com/docs/captcha-bypass/测试方法-Graphql:https://securitycipher.com/docs/graphql-inprogress/

设置多重身份验证(MFA)后,我们通常期望额外的安全层来访问我们的应用程序。但是,在这个例子中,我发现了一些有趣的事情。尽管进行了MFA设置,我还是找到了一种无需输入MFA详细信息即可访问某些应用程序功能的方法。

我做了什么?

好吧,我在没有完成MFA流程的情况下设法调整了我的电子邮件和用户名。我什至添加了银行卡详细信息、银行信息,并使用手机号码更新了用户详细信息,所有这些都无需MFA的麻烦。
因此,我决定对MFA进行测试。我进行了一系列安全测试,重点是MFA的实现。但每次我试图访问受限制的API时,我都会遇到一个“未经授权”的错误。令人沮丧,对吧?
然后我恍然大悟

该应用程序不仅仅使用传统的API端点;它还使用GraphQL来实现某些功能。灵光一现!因此,我登录了该应用程序(MFA 已设置)并等待MFA提示。

与此同时,我迅速拿出InQL扫描器插件来研究GraphQL查询。你瞧,使用其中一个查询,我能够在不完成MFA流程的情况下查看和编辑数据。
https://portswigger.net/bappstore/296e9a0730384be4b2fffef7b4e19b1f
600美元的简单MFA绕过 - Graphql
600美元的简单MFA绕过 - Graphql
600美元的简单MFA绕过 - Graphql
600美元的简单MFA绕过 - Graphql

这是怎么回事?

事实证明,该应用程序专门为 GraphQL API 设置了会话令牌,绕过了通常的 MFA 检查。这一发现使我能够访问敏感用户信息 (PII) 并调整一些参数,说明了这种疏忽的潜在影响。
最后,他们承认了这个错误,我因为我的发现而收到了赏金和奖金。
600美元的简单MFA绕过 - Graphql
 

原文始发于微信公众号(潇湘信安):600美元的简单MFA绕过 - Graphql

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月13日16:46:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   600美元的简单MFA绕过 - Graphqlhttps://cn-sec.com/archives/2565407.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息