今回は、暗号通貨のウェブサイトでredacted.ioと呼ぶことに。

ログインフォームと認証メカニズムをテストすることにしたので。

アカウントを作成してからログインしようとして。

正しい資格情報を入力すると、電話番号に送信される多要素認証として。

otpを入力するようにリダイレクトされて。

正しいログイン応答に[パスワード+ OTP]があったので。

これは、後でWebサイトのワークフローを理解するのに役立って。

間違ったログインを試み、応答を傍受し、正しいログイン応答と比較することに。

<wrong_password_response>

{token:91a1d5f4a8s5d1a2g1a5dfa15,”error”:”Please update the above field.”,”error_code”:”ErrFormFieldIncorrect”,”error_action”:{},”field_errors”:{“email”:”Password incorrect, please try again”}}

<correct_password_response>{token:91a1d5f4a8s5d1a2g1a5dfa15,”next”:”OTP”,”otp_step”:{“heading”:”Check your email”,”description”:”Enter the 4-digit code we sent to \u003cb\u003evictim@gmail.com\u003c/b\u003e to signin”,”num_digits”:4,”error”:””,”popup_message”:”Code sent to
victime@gmail.com”,”can_request_sms”:false}}

この応答を見た後、応答の操作を試してみようと思ったので。

「エラー」からの応答を操作して正しい応答に置き換えると。

注：間違った応答に存在するものはすべてトークンを同じにして。

　被害者のメールアドレスを入力して。

操作された応答は次のとおりで。

{token:91a1d5f4a8s5d1a2g1a5dfa15,”next”:”OTP”,”otp_step”:{“heading”:”Check your email”,”description”:”Enter the 4-digit code we sent to \u003cb\u003evictim@gmail.com\u003c/b\u003e to signin”,”num_digits”:4,”error”:””,”popup_message”:”Code sent to
victime@gmail.com”,”can_request_sms”:false}}

私がそれを転送すると。

ウェブサイトはOTPページにリダイレクトして、認証がバイパスされてたので。

OTPをブルートフォースすると、Webサイトが24時間ブロックして。

翌日、パスワードで使用したのと同じ操作トリックを適用しようと思ったので。

OTPリクエストを傍受したときに、本文にパラメータがあることがわかって。

　{“success”:”false”}

falseをtrueに変更すると、被害者のアカウントに正常に入力できて。