Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-04 02:20:20 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/2fa-bypass.md
Translator workflow 5e0daf0e23 Translated to Polish
2024-02-11 01:46:25 +00:00

139 lines
6.8 KiB
Markdown
Raw Blame History

# Bypass 2FA/OTP
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**The PEASS Family**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
## **Techniki obejścia dwuskładnikowej autoryzacji (2FA/OTP)**
### **Bezpośredni dostęp do punktu końcowego**
Aby obejść 2FA, należy bezpośrednio uzyskać dostęp do kolejnego punktu końcowego, znając ścieżkę. Jeśli nie powiedzie się, zmień **nagłówek Referrer** tak, aby naśladować nawigację z strony weryfikacji 2FA.
### **Ponowne wykorzystanie tokenów**
Ponowne wykorzystanie wcześniej używanych tokenów do uwierzytelniania w ramach konta może być skuteczne.
### **Wykorzystanie nieużywanych tokenów**
Można spróbować wydobyć token z własnego konta w celu obejścia 2FA w innym koncie.
### **Ujawnienie tokenu**
Sprawdź, czy token jest ujawniony w odpowiedzi z aplikacji internetowej.
### **Wykorzystanie linku weryfikacyjnego**
Użycie **linku weryfikacyjnego wysłanego podczas tworzenia konta** może umożliwić dostęp do profilu bez 2FA, jak opisano w szczegółach w [tym](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b) poście.
### **Manipulacja sesją**
Inicjowanie sesji zarówno dla konta użytkownika, jak i ofiary, i ukończenie 2FA dla konta użytkownika bez kontynuowania, umożliwia próbę dostępu do kolejnego kroku w przepływie konta ofiary, wykorzystując ograniczenia zarządzania sesją po stronie serwera.
### **Mechanizm resetowania hasła**
Badanie funkcji resetowania hasła, która loguje użytkownika do aplikacji po zresetowaniu, w celu sprawdzenia możliwości wielokrotnego resetowania za pomocą tego samego linku, jest kluczowe. Zalogowanie się za pomocą nowo ustawionych danych uwierzytelniających może obejść 2FA.
### **Kompromitacja platformy OAuth**
Skompromitowanie konta użytkownika na zaufanej platformie **OAuth** (np. Google, Facebook) może umożliwić obejście 2FA.
### **Ataki brute force**
#### **Brak limitu szybkości**
Brak limitu liczby prób kodu umożliwia ataki brute force, choć należy wziąć pod uwagę potencjalne ciche ograniczenie szybkości.
#### **Wolny atak brute force**
Wolny atak brute force jest możliwy, gdy istnieją limity szybkości przepływu bez ogólnego limitu szybkości.
#### **Reset limitu wysyłania kodu**
Ponowne wysłanie kodu resetuje limit szybkości, ułatwiając kontynuowanie prób ataku brute force.
#### **Ominięcie limitu szybkości po stronie klienta**
Dokument opisuje techniki obejścia limitu szybkości po stronie klienta.
#### **Brak limitu szybkości dla działań wewnętrznych**
Limity szybkości mogą chronić przed próbami logowania, ale nie przed wewnętrznymi działaniami na koncie.
#### **Koszty ponownego wysyłania kodu SMS**
Wysyłanie nadmiernych ilości kodów SMS wiąże się z kosztami dla firmy, ale nie obejmuje to 2FA.
#### **Nieskończona regeneracja OTP**
Nieskończona generacja OTP za pomocą prostych kodów umożliwia atak brute force poprzez ponowne próbowanie małego zestawu kodów.
### **Wykorzystanie wyścigów (race condition)**
Wykorzystanie wyścigów (race conditions) do obejścia 2FA można znaleźć w konkretnym dokumencie.
### **Podatności CSRF/Clickjacking**
Badanie podatności CSRF lub Clickjacking w celu wyłączenia 2FA jest skuteczną strategią.
### **Wykorzystanie funkcji "Zapamiętaj mnie"**
#### **Przewidywalne wartości plików cookie**
Zgadywanie wartości pliku cookie "zapamiętaj mnie" może obejść ograniczenia.
#### **Podszywanie się pod adres IP**
Podszywanie się pod adres IP ofiary za pomocą nagłówka **X-Forwarded-For** może obejść ograniczenia.
### **Wykorzystanie starszych wersji**
#### **Poddomeny**
Testowanie poddomen może obejmować starsze wersje, które nie obsługują 2FA lub zawierają podatne implementacje 2FA.
#### **Punkty końcowe interfejsu API**
Starsze wersje interfejsu API, wskazane przez ścieżki katalogowe /v\*/, mogą być podatne na metody obejścia 2FA.
### **Obsługa poprzednich sesji**
Zakończenie istniejących sesji po aktywacji 2FA zabezpiecza konta przed nieautoryzowanym dostępem z kompromitowanych sesji.
### **Wady kontroli dostępu z kodami zapasowymi**
Natychmiastowe generowanie i potencjalne nieautoryzowane pobieranie kodów zapasowych po aktywacji 2FA, zwłaszcza przy błędnej konfiguracji CORS/XSS, stanowi ryzyko.
### **Ujawnienie informacji na stronie 2FA**
Ujawnienie poufnych informacji (np. numeru telefonu) na stronie weryfikacji 2FA stanowi zagrożenie.
### **Wyłączenie 2FA przez resetowanie hasła**
Proces demonstrujący potencjalną metodę obejścia obejmuje utworzenie konta, aktywację 2FA, resetowanie hasła i następne logowanie bez wymagania 2FA.
### **Podstawowe żądania (decoy requests)**
Wykorzystanie podstawowych żądań w celu zaciemnienia prób ataku brute force lub wprowadzenia w błąd mechanizmów ograniczania szybkości dodaje kolejną warstwę strategii obejścia. Tworzenie takich żądań wymaga subtelnej znajomości środków bezpieczeństwa aplikacji i zachowań ograniczania szybkości.
## Odwołania
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35]("https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35")
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
<details>
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Inne sposoby wsparcia HackTricks:
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w form
Reference in a new issue View git blame Copy permalink