# Bypass dell'Autenticazione a Due Fattori (2FA/OTP)
Impara l'hacking su AWS da zero a esperto conhtARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
* Se vuoi vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos di github.
### [WhiteIntel](https://whiteintel.io)
[**WhiteIntel**](https://whiteintel.io) è un motore di ricerca alimentato dal **dark web** che offre funzionalità **gratuite** per verificare se un'azienda o i suoi clienti sono stati **compromessi** da **malware ruba-informazioni**.
Il loro obiettivo principale è contrastare le violazioni degli account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
{% embed url="https://whiteintel.io" %}
***
## **Tecniche Avanzate di Bypass dell'Autenticazione a Due Fattori**
### **Accesso Diretto all'Endpoint**
Per bypassare il 2FA, accedere direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non si ha successo, modificare l'**header Referrer** per simulare la navigazione dalla pagina di verifica del 2FA.
### **Riutilizzo del Token**
Il riutilizzo dei token precedentemente utilizzati per l'autenticazione all'interno di un account può essere efficace.
### **Utilizzo di Token Non Utilizzati**
Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.
### **Esposizione del Token**
Verificare se il token è divulgato in una risposta dall'applicazione web.
### **Sfruttamento del Link di Verifica**
Utilizzare il **link di verifica via email inviato durante la creazione dell'account** può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato [post](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b).
### **Manipolazione della Sessione**
Iniziare le sessioni sia per l'account dell'utente che per l'account di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passaggio successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni lato server.
### **Meccanismo di Reset della Password**
Indagare sulla funzione di reset della password, che effettua il login di un utente nell'applicazione dopo il reset, per la sua potenziale capacità di consentire più reset utilizzando lo stesso link è cruciale. Effettuare il login con le nuove credenziali ripristinate potrebbe bypassare il 2FA.
### **Compromissione della Piattaforma OAuth**
Compromettere l'account di un utente su una piattaforma **OAuth** affidabile (ad esempio, Google, Facebook) può offrire una via per bypassare il 2FA.
### **Attacchi di Forza Bruta**
#### **Assenza di Limiti di Frequenza**
L'assenza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se potenziali limiti silenziosi di frequenza dovrebbero essere considerati.
#### **Forza Bruta Lenta**
Un attacco di forza bruta lento è fattibile dove esistono limiti di frequenza del flusso senza un limite di frequenza generale.
#### **Reset del Limite di Rispedizione del Codice**
La rispedizione del codice resetta il limite di frequenza, facilitando tentativi continui di forza bruta.
#### **Circumvenzione del Limite di Frequenza Lato Client**
Un documento dettaglia le tecniche per bypassare i limiti di frequenza lato client.
#### **Azioni Interne Senza Limiti di Frequenza**
I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.
#### **Costi di Rispedizione del Codice SMS**
La rispedizione eccessiva di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.
#### **Rigenerazione Infinita dell'OTP**
La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo set di codici.
### **Sfruttamento delle Condizioni di Gara**
Lo sfruttamento delle condizioni di gara per il bypass del 2FA può essere trovato in un documento specifico.
### **Vulnerabilità CSRF/Clickjacking**
Esplorare le vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia valida.
### **Sfruttamento della Funzionalità "Ricordami"**
#### **Valori del Cookie Prevedibili**
Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.
#### **Impersonificazione dell'Indirizzo IP**
Impersonare l'indirizzo IP della vittima attraverso l'header **X-Forwarded-For** può bypassare le restrizioni.
### **Utilizzo di Versioni Più Vecchie**
#### **Sottodomini**
Testare i sottodomini potrebbe utilizzare versioni obsolete prive di supporto 2FA o contenere implementazioni 2FA vulnerabili.
#### **Endpoint API**
Le versioni più vecchie dell'API, indicate dai percorsi della directory /v\*, potrebbero essere vulnerabili ai metodi di bypass del 2FA.
### **Gestione delle Sessioni Precedenti**
Terminare le sessioni esistenti all'attivazione del 2FA protegge gli account dall'accesso non autorizzato dalle sessioni compromesse.
### **Difetti di Controllo dell'Accesso con Codici di Backup**
La generazione immediata e il recupero potenzialmente non autorizzato dei codici di backup all'attivazione del 2FA, specialmente con misconfigurazioni CORS/vulnerabilità XSS, rappresenta un rischio.
### **Divulgazione di Informazioni sulla Pagina 2FA**
La divulgazione di informazioni sensibili (ad esempio, il numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.
### **Disattivazione del Reset della Password 2FA**
Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione dell'account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.
### **Richieste Ingannevoli**
Utilizzare richieste ingannevoli per oscurare gli attacchi di forza bruta o ingannare i meccanismi di limitazione della frequenza aggiunge un altro livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.
## Riferimenti
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
### [WhiteIntel](https://whiteintel.io)
[**WhiteIntel**](https://whiteintel.io) è un motore di ricerca alimentato dal **dark web** che offre funzionalità **gratuite** per verificare se un'azienda o i suoi clienti sono stati **compromessi** da **malware ruba-informazioni**.
Il loro obiettivo principale è contrastare le violazioni degli account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
{% embed url="https://whiteintel.io" %}
P