🔐2FA Bypass
2FA code leak en HTTP Response:
Interceptar OTP en Burpsuite e inspeccionar la HTTP response y buscar leak del código.
Análisis de archivos JS:
Analizar archivos JS incluidos en la respuesta en busca de información acerca del 2FA.
Sin protección contra Brute-Force:
Escribir código test del 2FA y capturar la Request con Burpsuite.
Enviar la Request al Intruder y mandarla 100-200 veces para comprobar si hay protección.
Aplicar fuerza bruta.
Falta de integridad en la validación del 2FA code:
Solicita un código 2FA desde una cuenta de atacante.
Usa ese código en la Petición de la víctima.
2FA Refer Check Bypass:
Navegar a la página posterior a la autenticación 2FA u otra que requiera autenticación.
Si no hay éxito, modificar el campo de la cabecera Referer por la URL de la página del 2FA.
Activar 2FA Doesn’t Expire Previous Session:
Si el atacante secuestra una sesión activa antes del 2FA, es posible realizar todas las acciones sin la necesidad del 2FA.
Clickjacking en deshabilitar 2FA:
Intentar iframear la página en la que se desactiva el 2FA.
Manipulación de la Response:
Revisa la Response de la Petición 2FA.
Cambia el campo 'Success:false' a TRUE.
Manipulación del Status Code:
Comprueba si el Código de Estado es 4xx
Cambia el Código de Estado en la Response a '220 OK'.
2FA Code Reusable:
Request a 2FA code and use it.
Re-use the same 2FA code in another session and if it authenticated successfully, that’s a potential issue.
Solicita un Código 2FA de una cuenta test y úsalo.
Reusa el mismo código en otra sesión de la misma cuenta.
Si se autentifica correctamente, es una potencial falla de seguridad.
CSRF en deshabilitar 2FA:
Navigate to 2FA Page and click on “Disable 2FA” and capture this request with Burp Suite & generate a CSRF PoC.
Send this PoC to the victim, and check if CSRF happens successfully and remove the 2FA from the victim account.
Capturar Request de Deshabilitar 2FA con Burpsuite y generar una CSRF PoC.
Enviar PoC a la víctima y comprobar si deshabilita el 2FA de su cuenta.
Última actualización