hacktricks/pentesting-web/2fa-bypass.md

143 lines
7.7 KiB
Markdown
Raw Normal View History

# 2FA/OTP Bypass
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 15:36:32 +00:00
<summary><strong>Lernen Sie das Hacken von AWS von Null auf Heldenniveau mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
Andere Möglichkeiten, HackTricks zu unterstützen:
2023-12-31 01:24:39 +00:00
2024-02-10 15:36:32 +00:00
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
2022-04-28 16:01:33 +00:00
</details>
2024-02-10 15:36:32 +00:00
## **Verbesserte Techniken zum Umgehen der Zwei-Faktor-Authentifizierung**
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
### **Direkter Zugriff auf Endpunkt**
2024-02-10 15:36:32 +00:00
Um die 2FA zu umgehen, greifen Sie direkt auf den entsprechenden Endpunkt zu. Es ist wichtig, den Pfad zu kennen. Wenn dies nicht erfolgreich ist, ändern Sie den **Referrer-Header**, um die Navigation von der 2FA-Verifizierungsseite zu imitieren.
2024-02-10 15:36:32 +00:00
### **Token-Wiederverwendung**
2024-02-10 15:36:32 +00:00
Die Wiederverwendung zuvor verwendeter Tokens zur Authentifizierung in einem Konto kann effektiv sein.
2024-02-10 15:36:32 +00:00
### **Verwendung ungenutzter Tokens**
2024-02-10 15:36:32 +00:00
Es kann versucht werden, einen Token aus dem eigenen Konto zu extrahieren, um die 2FA in einem anderen Konto zu umgehen.
2024-02-10 15:36:32 +00:00
### **Offenlegung des Tokens**
2024-02-10 15:36:32 +00:00
Überprüfen Sie, ob der Token in einer Antwort der Webanwendung offengelegt wird.
2024-02-10 15:36:32 +00:00
### **Ausnutzung des Verifizierungslinks**
2024-02-10 15:36:32 +00:00
Die Verwendung des per E-Mail gesendeten **Verifizierungslinks bei der Kontoerstellung** ermöglicht den Zugriff auf das Profil ohne 2FA, wie in einem detaillierten [Beitrag](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b) beschrieben.
2024-02-10 15:36:32 +00:00
### **Sitzungsmanipulation**
2024-02-10 15:36:32 +00:00
Durch das Initiieren von Sitzungen für das Konto des Benutzers und das Konto des Opfers und das Abschließen der 2FA für das Konto des Benutzers ohne Fortfahren kann versucht werden, auf den nächsten Schritt im Kontofluss des Opfers zuzugreifen und die Einschränkungen des Backend-Sitzungsmanagements auszunutzen.
2024-02-10 15:36:32 +00:00
### **Passwortzurücksetzungsmechanismus**
2024-02-10 15:36:32 +00:00
Untersuchen Sie die Passwortzurücksetzungsfunktion, die einen Benutzer nach dem Zurücksetzen in die Anwendung einloggt, um festzustellen, ob mehrere Zurücksetzungen mit demselben Link möglich sind. Das Einloggen mit den neu zurückgesetzten Anmeldeinformationen kann die 2FA umgehen.
2024-02-10 15:36:32 +00:00
### **Kompromittierung der OAuth-Plattform**
2024-02-10 15:36:32 +00:00
Die Kompromittierung eines Benutzerkontos auf einer vertrauenswürdigen **OAuth**-Plattform (z. B. Google, Facebook) kann einen Weg bieten, die 2FA zu umgehen.
2024-02-10 15:36:32 +00:00
### **Brute-Force-Angriffe**
2024-02-10 15:36:32 +00:00
#### **Fehlende Rate-Limitierung**
2024-02-10 15:36:32 +00:00
Das Fehlen einer Begrenzung für die Anzahl der Codeversuche ermöglicht Brute-Force-Angriffe, obwohl eine potenzielle stille Rate-Limitierung berücksichtigt werden sollte.
2024-02-10 15:36:32 +00:00
#### **Langsamer Brute-Force**
2024-02-10 15:36:32 +00:00
Ein langsamer Brute-Force-Angriff ist möglich, wenn Flussratenbegrenzungen ohne eine übergeordnete Rate-Limitierung vorhanden sind.
2024-02-10 15:36:32 +00:00
#### **Code-Neusendung zur Zurücksetzung der Rate-Limitierung**
2024-02-10 15:36:32 +00:00
Das erneute Senden des Codes setzt die Rate-Limitierung zurück und ermöglicht fortgesetzte Brute-Force-Versuche.
2024-02-10 15:36:32 +00:00
#### **Umgehung der clientseitigen Rate-Limitierung**
2024-02-10 15:36:32 +00:00
Ein Dokument beschreibt Techniken zum Umgehen der clientseitigen Rate-Limitierung.
2024-02-10 15:36:32 +00:00
#### **Fehlende Rate-Limitierung für interne Aktionen**
2024-02-10 15:36:32 +00:00
Rate-Limits können Anmeldeversuche schützen, aber nicht interne Kontobewegungen.
2024-02-10 15:36:32 +00:00
#### **Kosten für die erneute Sendung von SMS-Codes**
2024-02-10 15:36:32 +00:00
Das übermäßige erneute Senden von Codes per SMS verursacht Kosten für das Unternehmen, umgeht jedoch nicht die 2FA.
2024-02-10 15:36:32 +00:00
#### **Unendliche OTP-Regeneration**
2024-02-10 15:36:32 +00:00
Die endlose OTP-Generierung mit einfachen Codes ermöglicht Brute-Force-Angriffe durch erneutes Ausprobieren einer kleinen Menge von Codes.
2024-02-10 15:36:32 +00:00
### **Ausnutzung von Rennbedingungen**
2024-02-10 15:36:32 +00:00
Die Ausnutzung von Rennbedingungen zur Umgehung der 2FA kann in einem spezifischen Dokument gefunden werden.
2024-02-10 15:36:32 +00:00
### **CSRF/Clickjacking-Schwachstellen**
2024-02-10 15:36:32 +00:00
Die Erkundung von CSRF- oder Clickjacking-Schwachstellen zur Deaktivierung der 2FA ist eine mögliche Strategie.
2024-02-10 15:36:32 +00:00
### **Ausnutzung der Funktion "Remember Me"**
2024-02-10 15:36:32 +00:00
#### **Vorhersagbare Cookie-Werte**
2024-02-10 15:36:32 +00:00
Das Erraten des Werts des "Remember Me"-Cookies kann Einschränkungen umgehen.
2024-02-10 15:36:32 +00:00
#### **IP-Adressen-Imitation**
2024-02-10 15:36:32 +00:00
Die Imitation der IP-Adresse des Opfers über den **X-Forwarded-For**-Header kann Einschränkungen umgehen.
2024-02-10 15:36:32 +00:00
### **Verwendung älterer Versionen**
2024-02-06 03:10:38 +00:00
#### **Subdomains**
2024-02-10 15:36:32 +00:00
Das Testen von Subdomains kann veraltete Versionen ohne 2FA-Unterstützung verwenden oder anfällige 2FA-Implementierungen enthalten.
2024-02-10 15:36:32 +00:00
#### **API-Endpunkte**
2024-02-10 15:36:32 +00:00
Ältere API-Versionen, die durch Verzeichnispfade wie /v\* angezeigt werden, können anfällig für 2FA-Umgehungsmethoden sein.
2024-02-10 15:36:32 +00:00
### **Behandlung früherer Sitzungen**
2024-02-10 15:36:32 +00:00
Das Beenden bestehender Sitzungen beim Aktivieren der 2FA sichert Konten gegen unbefugten Zugriff aus kompromittierten Sitzungen.
2024-02-10 15:36:32 +00:00
### **Zugriffskontrollfehler mit Backup-Codes**
2024-02-10 15:36:32 +00:00
Die sofortige Generierung und potenzielle unbefugte Abrufung von Backup-Codes beim Aktivieren der 2FA, insbesondere bei CORS-Fehlkonfigurationen/XSS-Schwachstellen, birgt ein Risiko.
2024-02-10 15:36:32 +00:00
### **Informationen auf der 2FA-Seite offenlegen**
2024-02-10 15:36:32 +00:00
Die Offenlegung sensibler Informationen (z. B. Telefonnummer) auf der 2FA-Verifizierungsseite ist ein Problem.
2024-02-10 15:36:32 +00:00
### **Deaktivierung der 2FA durch Zurücksetzen des Passworts**
2024-02-10 15:36:32 +00:00
Ein Prozess, der eine potenzielle Umgehungsmethode zeigt, umfasst die Kontoerstellung, Aktivierung der 2FA, Zurücksetzen des Passworts und anschließendes Einloggen ohne die Anforderung der 2FA.
2024-02-10 15:36:32 +00:00
### **Ablenkungsanfragen**
2021-10-07 09:43:36 +00:00
2024-02-10 15:36:32 +00:00
Die Verwendung von Ablenkungsanfragen zur Verschleierung von Brute-Force-Versuchen oder zur Irreführung von Rate-Limiting-Mechanismen fügt Umgehungstrategien eine weitere Ebene hinzu. Das Erstellen solcher Anfragen erfordert ein nuanciertes Verständnis der Sicherheitsmaßnahmen und des Verhaltens der Rate-Limiting-Mechanismen der Anwendung.
2024-02-10 15:36:32 +00:00
## Referenzen
2024-02-06 03:10:38 +00:00
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35]("https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35")
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 15:36:32 +00:00
<summary><strong>Lernen Sie das Hacken von AWS von Null auf Heldenniveau mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
Andere Möglichkeiten, HackTricks zu unterstützen:
2023-12-31 01:24:39 +00:00
2024-02-10 15:36:32 +00:00
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der**