Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне в общей сложности $6000. Для лучшего понимания я поделюсь техническими деталями, включая пример HTTP-запроса, а также расскажу о результатах повторного тестирования.
Первичное обнаружение — обход проверки OTP
Всё началось со стандартного процесса входа на redacted.com. После ввода правильных учетных данных веб-приложение запрашивало одноразовый пароль (OTP) в рамках двухфакторной аутентификации (2FA). Чтобы проанализировать процесс, я запустил Burp Suite для перехвата HTTP-запросов.
Вот что я сделал:
- Перехватил запрос на ввод OTP: Я ввел случайный OTP, перехватил этот запрос во вкладке Proxy в Burp Suite и отправил его в модуль Repeater для дальнейшего анализа.
- Отклонил запрос: Вместо того чтобы отправить этот запрос с OTP дальше, я полностью его отменил.
- Проанализировал запрос: В запросе на верификацию OTP, в Authorization заголовке находился JSON Web Token (JWT), который был создан еще до проверки OTP. Это была критическая уязвимость, так как JWT, давал доступ к защищённым эндпоинтам.
Ниже приведён обезличенный пример перехваченного HTTP-запроса для наглядности:
POST /api/verify-otp HTTP/1.1
Host: redacted.com
Content-Type: application/json
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2Nzg5MCIsImlhdCI6MTcyODAwMDAwMCwiZXhwIjoxNzI4MDAzNjAwfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Connection: close
{
"otp": "123456"
}
JWT-токен в заголовке Authorization оказался ключом. Отклонив запрос на проверку OTP, я предположил, что токен всё ещё может быть действителен для доступа к другим эндпоинтам.
Изучение API-эндпоинтов с помощью GAP и Intruder
Чтобы проверить масштаб уязвимости, я использовал расширение Burp Suite Get All Parameters (GAP) для перечисления всех API-эндпоинтов, связанных с redacted.com. Затем я применил инструмент Intruder из Burp Suite, чтобы отправлять запросы на эти эндпоинты, добавляя JWT-токен в заголовок Authorization.
К моему удивлению, я получил доступ ко всем API-эндпоинтам без прохождения проверки OTP. Это была серьёзная уязвимость безопасности, так как таким образом механизмы двухфакторной аутентификации (2FA) полностью обходились.
Отчетность и вознаграждение
Я сообщил об уязвимости в рамках программы, подробно описав шаги для воспроизведения и возможные последствия (например, несанкционированный доступ к конфиденциальным пользовательским данным или действиям). Компания признала проблему, исправила баг и вручила мне награду в размере $4000.
Повторное тестирование – Уязвимость платёжного эндпоинта
После исправления я повторно протестировал приложение (через год), чтобы убедиться, что уязвимость устранена. Процесс проверки OTP теперь казался более надёжным, и большинство эндпоинтов перенаправляли неавторизованные запросы на страницу ввода OTP. Однако я решил исследовать дальше, используя другой подход — принудительный переход через браузер (browser forcing).
Вместо того чтобы взаимодействовать с окном ввода OTP в браузере, я вручную перешёл на страницу оплаты/заказа (/payment/order), напрямую введя адрес в браузерной строке. К своему удивлению, я обнаружил, что этот эндпоинт всё ещё был доступен без проверки OTP. Я мог просматривать и использовать функционал оплаты, что являлось серьёзной недоработкой.
Вот пример HTTP-запроса к этому платёжному эндпоинту.
GET /payment/order/transection HTTP/1.1
Host: redacted.com
Cookie:
Connection: close
Я протестировал другие эндпоинты, но они корректно перенаправляли на страницу ввода OTP. Только эндпоинт payment/order/transection оставался уязвимым, что указывало на неполное исправление.
Второй отчёт и дополнительное вознаграждение
Я отправил повторный отчёт, в котором подчеркнул сохраняющуюся проблему с эндпоинтом payment/order. Компания быстро устранила недочёт и выплатила мне дополнительные $2000, увеличив общий размер вознаграждения до $6000.
Ключевые выводы
Несколько важных уроков как для охотников за багами, так и для разработчиков:
Проверяйте неочевидное. Прерывание запросов или обход пользовательских интерфейсов (например, с помощью browser forcing) может выявить скрытые уязвимости.
Тщательно перебирайте эндпоинты. Инструменты вроде GAP и Intruder незаменимы для поиска незащищённых эндпоинтов.
Повторно тестируйте после исправлений. Неполные патчи могут оставить критические эндпоинты открытыми для атак, как это случилось со страницей payment/order.
Подробное описание. Чёткие и подробные отчёты помогают компаниям быстро исправлять проблемы и честно вознаграждать исследователей.
Для разработчиков этот случай подчёркивает важность проверки аутентификации и авторизации на каждом эндпоинте, особенно для чувствительных функций вроде платежей. Генерация JWT до завершения 2FA — это рецепт беды.
Заключение
Найти и проэксплуатировать этот обход 2FA — отличный опыт с точки зрения развития. Находка доказала ценность настойчивости, креативного тестирования и тщательной перепроверки в баг-баунти. Надеюсь, этот отчёт вдохновит других исследователей копать глубже и поможет разработчикам усилить безопасность своих приложений.
Ещё больше познавательного контента в Telegram-канале — Life-Hack - Хакер
