# Bypass 2FA/MFA/OTP
{% hint style="success" %}
Impara e pratica il hacking AWS:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Impara e pratica il hacking GCP: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Supporta HackTricks
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
{% endhint %}
## **Tecniche di Bypass dell'Autenticazione a Due Fattori Migliorate**
### **Accesso Diretto all'Endpoint**
Per bypassare il 2FA, accedi direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non riesci, modifica l'**header Referrer** per imitare la navigazione dalla pagina di verifica 2FA.
### **Riutilizzo del Token**
Riutilizzare token precedentemente usati per l'autenticazione all'interno di un account può essere efficace.
### **Utilizzo di Token Non Utilizzati**
Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.
### **Esposizione del Token**
Indaga se il token è divulgato in una risposta dall'applicazione web.
### **Sfruttamento del Link di Verifica**
Utilizzare il **link di verifica email inviato al momento della creazione dell'account** può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato [post](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b).
### **Manipolazione della Sessione**
Iniziare sessioni sia per l'account dell'utente che per quello di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passaggio successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni backend.
### **Meccanismo di Reset della Password**
Indagare sulla funzione di reset della password, che accede all'applicazione dopo il reset, per il suo potenziale di consentire più reset utilizzando lo stesso link è cruciale. Accedere con le credenziali appena resetate potrebbe bypassare il 2FA.
### **Compromissione della Piattaforma OAuth**
Compromettere l'account di un utente su una piattaforma **OAuth** fidata (es. Google, Facebook) può offrire un percorso per bypassare il 2FA.
### **Attacchi di Forza Bruta**
#### **Assenza di Limite di Frequenza**
La mancanza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se si dovrebbe considerare un potenziale limitamento silenzioso della frequenza.
#### **Forza Bruta Lenta**
Un attacco di forza bruta lento è praticabile dove esistono limiti di flusso senza un limite generale di frequenza.
#### **Ripristino del Limite di Invio del Codice**
Reinviare il codice ripristina il limite di frequenza, facilitando tentativi di forza bruta continuati.
#### **Circumvenzione del Limite di Frequenza Client-Side**
Un documento dettaglia tecniche per bypassare il limitamento della frequenza client-side.
#### **Azioni Interne Senza Limite di Frequenza**
I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.
#### **Costi di Reinvi del Codice SMS**
Il reinvio eccessivo di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.
#### **Rigenerazione Infinita di OTP**
La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo set di codici.
### **Sfruttamento delle Condizioni di Gara**
Sfruttare le condizioni di gara per bypassare il 2FA può essere trovato in un documento specifico.
### **Vulnerabilità CSRF/Clickjacking**
Esplorare vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia praticabile.
### **Sfruttamenti della Funzione "Ricordami"**
#### **Valori di Cookie Prevedibili**
Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.
#### **Impersonificazione dell'Indirizzo IP**
Impersonare l'indirizzo IP della vittima tramite l'header **X-Forwarded-For** può bypassare le restrizioni.
### **Utilizzo di Versioni Più Vecchie**
#### **Sottodomini**
Testare i sottodomini può utilizzare versioni obsolete prive di supporto per il 2FA o contenere implementazioni vulnerabili del 2FA.
#### **Endpoint API**
Versioni API più vecchie, indicate da percorsi di directory /v\*/, possono essere vulnerabili ai metodi di bypass del 2FA.
### **Gestione delle Sessioni Precedenti**
Terminare le sessioni esistenti al momento dell'attivazione del 2FA protegge gli account da accessi non autorizzati da sessioni compromesse.
### **Flaws di Controllo degli Accessi con Codici di Backup**
La generazione immediata e il potenziale recupero non autorizzato di codici di backup al momento dell'attivazione del 2FA, specialmente con configurazioni errate di CORS/vulnerabilità XSS, rappresentano un rischio.
### **Divulgazione di Informazioni sulla Pagina 2FA**
La divulgazione di informazioni sensibili (es. numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.
### **Reset della Password Disabilitando il 2FA**
Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione di un account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.
### **Richieste di Diversione**
Utilizzare richieste di diversione per offuscare i tentativi di forza bruta o fuorviare i meccanismi di limitazione della frequenza aggiunge un ulteriore livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.
### Errori di Costruzione OTP
Nel caso in cui l'OTP venga creato in base a dati che l'utente ha già o che vengono inviati precedentemente per creare l'OTP, è possibile per l'utente generarlo e bypassarlo.
## Riferimenti
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
* [https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116\_1d0f6ce59992222b0812b7cab19a4bce](https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116\_1d0f6ce59992222b0812b7cab19a4bce)
P
{% hint style="success" %}
Impara e pratica il hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Impara e pratica il hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Supporta HackTricks
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
{% endhint %}