mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-29 08:01:00 +00:00
157 lines
8.3 KiB
Markdown
157 lines
8.3 KiB
Markdown
# Bypass 2FA/MFA/OTP
|
|
|
|
{% hint style="success" %}
|
|
Impara e pratica il hacking AWS:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
|
|
Impara e pratica il hacking GCP: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|
|
|
<details>
|
|
|
|
<summary>Supporta HackTricks</summary>
|
|
|
|
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
|
|
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
|
|
|
|
</details>
|
|
{% endhint %}
|
|
|
|
|
|
## **Tecniche di Bypass dell'Autenticazione a Due Fattori Migliorate**
|
|
|
|
### **Accesso Diretto all'Endpoint**
|
|
|
|
Per bypassare il 2FA, accedi direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non riesci, modifica l'**header Referrer** per imitare la navigazione dalla pagina di verifica 2FA.
|
|
|
|
### **Riutilizzo del Token**
|
|
|
|
Riutilizzare token precedentemente usati per l'autenticazione all'interno di un account può essere efficace.
|
|
|
|
### **Utilizzo di Token Non Utilizzati**
|
|
|
|
Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.
|
|
|
|
### **Esposizione del Token**
|
|
|
|
Indaga se il token è divulgato in una risposta dall'applicazione web.
|
|
|
|
### **Sfruttamento del Link di Verifica**
|
|
|
|
Utilizzare il **link di verifica email inviato al momento della creazione dell'account** può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato [post](https://srahulceh.medium.com/behind-the-scenes-of-a-security-bug-the-perils-of-2fa-cookie-generation-496d9519771b).
|
|
|
|
### **Manipolazione della Sessione**
|
|
|
|
Iniziare sessioni sia per l'account dell'utente che per quello di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passaggio successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni backend.
|
|
|
|
### **Meccanismo di Reset della Password**
|
|
|
|
Indagare sulla funzione di reset della password, che accede all'applicazione dopo il reset, per il suo potenziale di consentire più reset utilizzando lo stesso link è cruciale. Accedere con le credenziali appena resetate potrebbe bypassare il 2FA.
|
|
|
|
### **Compromissione della Piattaforma OAuth**
|
|
|
|
Compromettere l'account di un utente su una piattaforma **OAuth** fidata (es. Google, Facebook) può offrire un percorso per bypassare il 2FA.
|
|
|
|
### **Attacchi di Forza Bruta**
|
|
|
|
#### **Assenza di Limite di Frequenza**
|
|
|
|
La mancanza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se si dovrebbe considerare un potenziale limitamento silenzioso della frequenza.
|
|
|
|
#### **Forza Bruta Lenta**
|
|
|
|
Un attacco di forza bruta lento è praticabile dove esistono limiti di flusso senza un limite generale di frequenza.
|
|
|
|
#### **Ripristino del Limite di Invio del Codice**
|
|
|
|
Reinviare il codice ripristina il limite di frequenza, facilitando tentativi di forza bruta continuati.
|
|
|
|
#### **Circumvenzione del Limite di Frequenza Client-Side**
|
|
|
|
Un documento dettaglia tecniche per bypassare il limitamento della frequenza client-side.
|
|
|
|
#### **Azioni Interne Senza Limite di Frequenza**
|
|
|
|
I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.
|
|
|
|
#### **Costi di Reinvi del Codice SMS**
|
|
|
|
Il reinvio eccessivo di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.
|
|
|
|
#### **Rigenerazione Infinita di OTP**
|
|
|
|
La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo set di codici.
|
|
|
|
### **Sfruttamento delle Condizioni di Gara**
|
|
|
|
Sfruttare le condizioni di gara per bypassare il 2FA può essere trovato in un documento specifico.
|
|
|
|
### **Vulnerabilità CSRF/Clickjacking**
|
|
|
|
Esplorare vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia praticabile.
|
|
|
|
### **Sfruttamenti della Funzione "Ricordami"**
|
|
|
|
#### **Valori di Cookie Prevedibili**
|
|
|
|
Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.
|
|
|
|
#### **Impersonificazione dell'Indirizzo IP**
|
|
|
|
Impersonare l'indirizzo IP della vittima tramite l'header **X-Forwarded-For** può bypassare le restrizioni.
|
|
|
|
### **Utilizzo di Versioni Più Vecchie**
|
|
|
|
#### **Sottodomini**
|
|
|
|
Testare i sottodomini può utilizzare versioni obsolete prive di supporto per il 2FA o contenere implementazioni vulnerabili del 2FA.
|
|
|
|
#### **Endpoint API**
|
|
|
|
Versioni API più vecchie, indicate da percorsi di directory /v\*/, possono essere vulnerabili ai metodi di bypass del 2FA.
|
|
|
|
### **Gestione delle Sessioni Precedenti**
|
|
|
|
Terminare le sessioni esistenti al momento dell'attivazione del 2FA protegge gli account da accessi non autorizzati da sessioni compromesse.
|
|
|
|
### **Flaws di Controllo degli Accessi con Codici di Backup**
|
|
|
|
La generazione immediata e il potenziale recupero non autorizzato di codici di backup al momento dell'attivazione del 2FA, specialmente con configurazioni errate di CORS/vulnerabilità XSS, rappresentano un rischio.
|
|
|
|
### **Divulgazione di Informazioni sulla Pagina 2FA**
|
|
|
|
La divulgazione di informazioni sensibili (es. numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.
|
|
|
|
### **Reset della Password Disabilitando il 2FA**
|
|
|
|
Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione di un account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.
|
|
|
|
### **Richieste di Diversione**
|
|
|
|
Utilizzare richieste di diversione per offuscare i tentativi di forza bruta o fuorviare i meccanismi di limitazione della frequenza aggiunge un ulteriore livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.
|
|
|
|
### Errori di Costruzione OTP
|
|
|
|
Nel caso in cui l'OTP venga creato in base a dati che l'utente ha già o che vengono inviati precedentemente per creare l'OTP, è possibile per l'utente generarlo e bypassarlo.
|
|
|
|
## Riferimenti
|
|
|
|
* [https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/%22https:/medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35%22/README.md)
|
|
* [https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718](https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718)
|
|
* [https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116\_1d0f6ce59992222b0812b7cab19a4bce](https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116\_1d0f6ce59992222b0812b7cab19a4bce)
|
|
|
|
|
|
P
|
|
|
|
{% hint style="success" %}
|
|
Impara e pratica il hacking AWS:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
|
|
Impara e pratica il hacking GCP: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
|
|
|
<details>
|
|
|
|
<summary>Supporta HackTricks</summary>
|
|
|
|
* Controlla i [**piani di abbonamento**](https://github.com/sponsors/carlospolop)!
|
|
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Condividi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos su github.
|
|
|
|
</details>
|
|
{% endhint %}
|