Тестирование двухфакторной аутентификации и возможные варианты обхода

[Valya-roller]

А иногда можно просто запросить OTP для аккаунта, и в ответе уже получить валидную куку. Дальше просто идем на ресурс с этой кукой без всяких брутфорсов OTP. Такое случается редко, но все же случается.

[w9w]

Так пока не получалось, надеюсь, в будущем как-то такое и выстрелит :)

[Beched]

Подробнее почитать про проблему в контексте SMS-аутентификации можно в статье, откуда автор почерпнул часть идей:
blog.deteact.com/ru/common-flaws-of-sms-auth
blog.deteact.com/common-flaws-of-sms-auth

[w9w]

Статья действительно интересная, спасибо за ссылку, почитал.
Автор почерпнул большинство идей, основываясь на своём собственном опыте, а также на основе репортов на hackerone. Мне кажется немного странным, что Вы так быстро решили, что некоторые из идей почерпнуты именно из этой статьи, так как если это было действительно так, я бы обязательно включил её в свою статью как ценный источник информации. Мы все здесь учимся и моя «гордость» из-за этого не пострадала бы.

[Beched]

Хабр такой хабр… Прошу прощения, если это не так, но заголовки уж больно совпали. Ссылку скинул в качестве дополнения, а не как обвинение.
Но чья-то «гордость», видимо, всё-таки ущемлена, раз поставлен минус))

[w9w]

Хз, конечно, но давайте все таки не будем делать поспешных выводов о людях основываясь только на догадках.

[EminH]

“ значение cookie должно быть unguessable“
Статья оригинальная или translated?

[w9w]

Статью писал одновременно на английском и русском. Было решено оставить uguessable, так как оно лучше звучит чем русский вариант. Статья на английском medium.com/@iSecMax/two-factor-authentication-security-testing-and-possible-bypasses-f65650412b35

[EminH]

uguessable никак не технический термин (как тот же куки например), и вполне поддается переводу

[KodyWiremane]

Истинно. «Печеньки должны быть непредугадываемыми».