Comments 10
А иногда можно просто запросить OTP для аккаунта, и в ответе уже получить валидную куку. Дальше просто идем на ресурс с этой кукой без всяких брутфорсов OTP. Такое случается редко, но все же случается.
+1
Подробнее почитать про проблему в контексте SMS-аутентификации можно в статье, откуда автор почерпнул часть идей:
blog.deteact.com/ru/common-flaws-of-sms-auth
blog.deteact.com/common-flaws-of-sms-auth
blog.deteact.com/ru/common-flaws-of-sms-auth
blog.deteact.com/common-flaws-of-sms-auth
-3
Статья действительно интересная, спасибо за ссылку, почитал.
Автор почерпнул большинство идей, основываясь на своём собственном опыте, а также на основе репортов на hackerone. Мне кажется немного странным, что Вы так быстро решили, что некоторые из идей почерпнуты именно из этой статьи, так как если это было действительно так, я бы обязательно включил её в свою статью как ценный источник информации. Мы все здесь учимся и моя «гордость» из-за этого не пострадала бы.
Автор почерпнул большинство идей, основываясь на своём собственном опыте, а также на основе репортов на hackerone. Мне кажется немного странным, что Вы так быстро решили, что некоторые из идей почерпнуты именно из этой статьи, так как если это было действительно так, я бы обязательно включил её в свою статью как ценный источник информации. Мы все здесь учимся и моя «гордость» из-за этого не пострадала бы.
+1
Хабр такой хабр… Прошу прощения, если это не так, но заголовки уж больно совпали. Ссылку скинул в качестве дополнения, а не как обвинение.
Но чья-то «гордость», видимо, всё-таки ущемлена, раз поставлен минус))
Но чья-то «гордость», видимо, всё-таки ущемлена, раз поставлен минус))
0
“ значение cookie должно быть unguessable“
Статья оригинальная или translated?
0
Статью писал одновременно на английском и русском. Было решено оставить uguessable, так как оно лучше звучит чем русский вариант. Статья на английском medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35
0
Sign up to leave a comment.
Тестирование двухфакторной аутентификации и возможные варианты обхода