Hello there, ('ω')ノ
不適切なキャッシュメカニズムによる2FAバイパスを。
脆弱性:
2FAバイパス
記事:
今回は、2FAをバイパスすることができた方法の話を。
ビデオを見ることができるウェブサイトでredacted.comと呼ぶことに。
したがって、アプリケーションのフローは、アプリケーションにログインして。
プロファイルが完全にロードされた後。
ポップアップボックスが2FAコードの入力を求めるようなもので。
コードを送信しないと、ページのコンテンツにアクセスできず。
下記は、2FAプロンプトで。
最初にブラウザからすべてのキャッシュをクリアしてウェブサイトを開きましたが。
今回はビデオのURLを直接呼び出して。
redacted.com/en/video/my-videos/200436
アプリケーションはログインページにリダイレクトして。
ブラウザからすべてのキャッシュをクリアしたので。
サイトは下記のクッキーポリシーを受け入れるように依頼してきて。
アカウントにログインしましたが、今回はCookieポリシーに同意しなかったら。
アプリケーションは正常にログインし、ビデオの再生が開始されて。
2FAプロンプトはバイパスされて。
ここで、2FAはキャッシュメカニズムに依存していて。
Cookieポリシーに同意しなかったため、アプリケーションは2FAをチェックできず。
動画に直接アクセスできず。
プログラムの主な優先事項は、ユーザが2FAコードなしでビデオを。
表示できないようにすることであったため。
これは重大度の高い結果としてトリアージされて。
Best regards, (^^ゞ