Comments 1
Отличный кейс! Особенно впечатляет, как вы совместили классические методы (Burp Suite) с креативным подходом — например, browser forcing для обхода интерфейса. Интересно, проверяли ли вы валидность JWT после отклонения запроса через Repeater? Иногда токены имеют короткий TTL, но тут явно был зазор для эксплуатации.
Как вы тестируете 2FA в своих проектах? Проверяете ли все эндпоинты на предмет «тихих» токенов, или фокусируетесь только на основных сценариях?
Sign up to leave a comment.
Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000