Джерело:
Хабрахабр:
Дата публікації:
05/03/2025 07:07
Постійна адреса новини:
http://www.vsinovyny.com/11746885
[Перевод] Обход 2FA на HackerOne из-за состояния гонки
05/03/2025 07:07 // Хабрахабр:
Эта статья о том, как я обнаружил уязвимость состояния гонки, которая позволила мне отключить 2FA любой учетной записи HackerOne. Я не знаю, как долго там присутствовала эта уязвимость, пока я ее не заметил и не сообщил их команде.
Вот ограниченное раскрытие информации.
Важно сначала изучить то, как работает 2FA на Hackerone. Если вы включили 2FA в своей учетной записи Hackerone, процесс аутентификации выглядит следующим образом:
Email + Password => ✅ => 2FA code => ✅ => Logged In.
Я не смог найти ни одной уязвимости, чтобы пропустить один из приведенных выше шагов для обхода аутентификации.
Как отключить 2FA?
Читать далее| « |
Наступна новина з архіву Инструменты для анализа производительности сайта |
Попередня новина з архіву Підсумки 04.03: Допомога США і торгова війна |
» | |
|
|
||||