Hello there, ('ω')ノ
2FA が有効なアカウントは、非アクティブ化後に認証をバイパスできるを。
脆弱性:
認証回避
アカウント乗っ取り
記事:
今回は、2FA が有効になっているアカウントが非アクティブ化された後に。
組織にアクセスできるバグに関するもので。
アプリケーションの 2FA 機能をテストした後、アプリケーションは。
資格情報を必要とせず、セッション ID を取得するために。
2FA コードのみを必要とすることに気付き。
つまり、認証がバイパスされる可能性があり。
ログイン後、アプリケーションは、アカウントの 2FA をトリガーするために。
使用されるページにリダイレクトされ。
Cookie 値がなくてもトリガーされる可能性があり。
コードを入力すると、アプリケーションはセッション ID を返し。
このバグは大きな脅威をもたらすものではないため。
より深く掘り下げることにして。
その後、アカウントを無効にしてログインしようとしましたが。
アプリケーションからエラー メッセージが返され。
現在、Burp Suiteのリピータを使用して、非アクティブ化されたアカウントの。
2FA コードをトリガするリクエストを送信すると。
アプリケーションは SMS コードを送信して。
下記が、2FA コードをトリガするリクエストで。
再びリピータを使用して、以下に示すように SMS 検証リクエストで。
コードを送信すると。
アプリケーションが有効なセッション ID を返して。
下記は、SMSの確認リクエストで。
このセッション ID を使用してアカウントにアクセスできたため。
無効化を回避できて。
根本的な原因:
非アクティブ化すると、アプリケーションはユーザの。
ログイン資格情報のみを無効にし。
そのアカウントのトリガ SMS オプションを無効にはせず。
アプリケーションの認証は 2FA コードのみに基づいていたため。
ユーザは非アクティブ化後もセッション ID を正常に取得して。
アカウントにアクセスできて。
これは、重大度が高いバグとしてトリアージされて。
Best regards, (^^ゞ