Bypass 2FA/MFA/OTP

Reading time: 5 minutes

Tecniche Avanzate di Bypass dell'Autenticazione a Due Fattori

Accesso Diretto all'Endpoint

Per bypassare il 2FA, accedi direttamente all'endpoint successivo, conoscere il percorso è cruciale. Se non riesci, modifica l'header Referrer per imitare la navigazione dalla pagina di verifica 2FA.

Riutilizzo del Token

Riutilizzare token precedentemente usati per l'autenticazione all'interno di un account può essere efficace.

Utilizzo di Token Non Utilizzati

Estrarre un token dal proprio account per bypassare il 2FA in un altro account può essere tentato.

Esposizione del Token

Indaga se il token è divulgato in una risposta dall'applicazione web.

Sfruttamento del Link di Verifica

Utilizzare il link di verifica email inviato al momento della creazione dell'account può consentire l'accesso al profilo senza 2FA, come evidenziato in un dettagliato post.

Manipolazione della Sessione

Iniziare sessioni sia per l'account dell'utente che per quello di una vittima, e completare il 2FA per l'account dell'utente senza procedere, consente di tentare di accedere al passaggio successivo nel flusso dell'account della vittima, sfruttando le limitazioni della gestione delle sessioni backend.

Meccanismo di Reset della Password

Indagare sulla funzione di reset della password, che accede all'applicazione dopo il reset, per il suo potenziale di consentire più reset utilizzando lo stesso link è cruciale. Accedere con le credenziali appena resetate potrebbe bypassare il 2FA.

Compromissione della Piattaforma OAuth

Compromettere l'account di un utente su una piattaforma OAuth fidata (ad es., Google, Facebook) può offrire un percorso per bypassare il 2FA.

Attacchi di Forza Bruta

Assenza di Limite di Frequenza

L'assenza di un limite sul numero di tentativi di codice consente attacchi di forza bruta, anche se si dovrebbe considerare un potenziale silenzioso limitato.

Nota che anche se è in atto un limite di frequenza, dovresti provare a vedere se la risposta è diversa quando viene inviato l'OTP valido. In questo post, il cacciatore di bug ha scoperto che anche se un limite di frequenza viene attivato dopo 20 tentativi non riusciti rispondendo con 401, se quello valido veniva inviato, si riceveva una risposta 200.

Forza Bruta Lenta

Un attacco di forza bruta lento è praticabile dove esistono limiti di flusso senza un limite generale.

Reset del Limite di Invio del Codice

Reinviare il codice resetta il limite di frequenza, facilitando ulteriori tentativi di forza bruta.

Circumvenzione del Limite di Frequenza Lato Client

Un documento dettaglia tecniche per bypassare il limite di frequenza lato client.

Azioni Interne Senza Limite di Frequenza

I limiti di frequenza possono proteggere i tentativi di accesso ma non le azioni interne dell'account.

Costi di Reinviamento del Codice SMS

Il reinvio eccessivo di codici tramite SMS comporta costi per l'azienda, anche se non bypassa il 2FA.

Rigenerazione Infinita di OTP

La generazione infinita di OTP con codici semplici consente la forza bruta riprovando un piccolo set di codici.

Sfruttamento delle Condizioni di Gara

Sfruttare le condizioni di gara per bypassare il 2FA può essere trovato in un documento specifico.

Vulnerabilità CSRF/Clickjacking

Esplorare vulnerabilità CSRF o Clickjacking per disabilitare il 2FA è una strategia praticabile.

Sfruttamenti della Funzione "Ricordami"

Valori dei Cookie Prevedibili

Indovinare il valore del cookie "ricordami" può bypassare le restrizioni.

Impersonificazione dell'Indirizzo IP

Impersonare l'indirizzo IP della vittima tramite l'header X-Forwarded-For può bypassare le restrizioni.

Utilizzo di Versioni Più Vecchie

Sottodomini

Testare i sottodomini può utilizzare versioni obsolete prive di supporto 2FA o contenere implementazioni 2FA vulnerabili.

Endpoint API

Versioni API più vecchie, indicate da percorsi di directory /v*/, possono essere vulnerabili ai metodi di bypass del 2FA.

Gestione delle Sessioni Precedenti

Terminare le sessioni esistenti al momento dell'attivazione del 2FA protegge gli account da accessi non autorizzati da sessioni compromesse.

Difetti di Controllo degli Accessi con Codici di Backup

La generazione immediata e il potenziale recupero non autorizzato di codici di backup al momento dell'attivazione del 2FA, specialmente con configurazioni errate di CORS/vulnerabilità XSS, rappresentano un rischio.

Divulgazione di Informazioni sulla Pagina 2FA

La divulgazione di informazioni sensibili (ad es., numero di telefono) sulla pagina di verifica 2FA è una preoccupazione.

Reset della Password Disabilitando il 2FA

Un processo che dimostra un potenziale metodo di bypass coinvolge la creazione di un account, l'attivazione del 2FA, il reset della password e il successivo accesso senza il requisito del 2FA.

Richieste di Diversione

Utilizzare richieste di diversione per offuscare i tentativi di forza bruta o fuorviare i meccanismi di limitazione della frequenza aggiunge un ulteriore livello alle strategie di bypass. Creare tali richieste richiede una comprensione sfumata delle misure di sicurezza dell'applicazione e dei comportamenti di limitazione della frequenza.

Errori di Costruzione OTP

Nel caso in cui l'OTP venga creato in base ai dati che l'utente ha già o che vengono inviati precedentemente per creare l'OTP, è possibile che l'utente possa generarlo e bypassarlo.

Riferimenti

• https://medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35
• https://azwi.medium.com/2-factor-authentication-bypass-3b2bbd907718
• https://getpocket.com/read/aM7dap2bTo21bg6fRDAV2c5thng5T48b3f0Pd1geW2u186eafibdXj7aA78Ip116_1d0f6ce59992222b0812b7cab19a4bce

P