<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** nous sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.
[**WhiteIntel**](https://whiteintel.io) est un moteur de recherche alimenté par le **dark web** qui offre des fonctionnalités **gratuites** pour vérifier si une entreprise ou ses clients ont été **compromis** par des **logiciels malveillants voleurs**.
Le but principal de WhiteIntel est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de logiciels malveillants voleurs d'informations.
Pour contourner la 2FA, accédez directement au point de terminaison suivant en connaissant le chemin est crucial. En cas d'échec, modifiez l'en-tête **Referrer** pour imiter la navigation depuis la page de vérification 2FA.
L'utilisation du **lien de vérification par e-mail envoyé lors de la création du compte** peut permettre l'accès au profil sans 2FA, comme indiqué dans un [article](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b) détaillé.
Lancer des sessions pour le compte de l'utilisateur et celui d'une victime, et terminer la 2FA pour le compte de l'utilisateur sans poursuivre, permet de tenter d'accéder à l'étape suivante dans le flux du compte de la victime, en exploitant les limitations de gestion de session côté serveur.
L'investigation de la fonction de réinitialisation de mot de passe, qui connecte un utilisateur à l'application après la réinitialisation, pour sa capacité à permettre plusieurs réinitialisations en utilisant le même lien est cruciale. Se connecter avec les nouvelles informations de connexion réinitialisées pourrait contourner la 2FA.
La compromission du compte d'un utilisateur sur une plateforme **OAuth** de confiance (par exemple, Google, Facebook) peut offrir une voie de contournement de la 2FA.
L'absence de limite sur le nombre de tentatives de code permet des attaques par force brute, bien que des limites de taux silencieuses potentielles doivent être prises en compte.
La terminaison des sessions existantes lors de l'activation de la 2FA sécurise les comptes contre les accès non autorisés à partir de sessions compromises.
La génération immédiate et la récupération potentiellement non autorisée de codes de secours lors de l'activation de la 2FA, en particulier avec des configurations CORS/XSS incorrectes, posent un risque.
Un processus démontrant une méthode de contournement potentielle implique la création de compte, l'activation de la 2FA, la réinitialisation du mot de passe et la connexion ultérieure sans l'exigence de 2FA.
L'utilisation de requêtes leurres pour obscurcir les tentatives de force brute ou induire en erreur les mécanismes de limitation de taux ajoute une autre couche aux stratégies de contournement. La création de telles requêtes nécessite une compréhension nuancée des mesures de sécurité de l'application et des comportements de limitation de taux.
[**WhiteIntel**](https://whiteintel.io) est un moteur de recherche alimenté par le **dark web** qui offre des fonctionnalités **gratuites** pour vérifier si une entreprise ou ses clients ont été **compromis** par des **logiciels malveillants voleurs**.
Le but principal de WhiteIntel est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de logiciels malveillants voleurs d'informations.
Vous pouvez consulter leur site Web et essayer leur moteur **gratuitement** sur :
