Операция выполнена!
Закрыть
Хабы: Информационная безопасность, Bug hunters

Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, почему всегда стоит доводить дело до конца.

Цель: Простой вход с использованием OTP

Цель, которую я тестировал — назовем её redacted.com, — была хорошо проработана и прошла множество проверок. Вот как работало приложение:

- Пользователи входили в систему, используя адрес электронной почты.
- На их почту отправлялся одноразовый 6-значный код (OTP).
- Этот код вводился для доступа к аккаунту — никаких паролей.

Механизм был достаточно простым, что делало его идеальным для тестирования уязвимостей OTP, связанных с перебором.

Начало тестирования

Читать далее
Читайте также
НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro