[Перевод] Обход 2FA на HackerOne из-за состояния гонки

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Обход 2FA на HackerOne из-за состояния гонки

05.03.2025 05:07:37 | Хабр

Хабы: Информационная безопасность

Эта статья о том, как я обнаружил уязвимость состояния гонки, которая позволила мне отключить 2FA любой учетной записи HackerOne. Я не знаю, как долго там присутствовала эта уязвимость, пока я ее не заметил и не сообщил их команде.

Вот ограниченное раскрытие информации.

Важно сначала изучить то, как работает 2FA на Hackerone. Если вы включили 2FA в своей учетной записи Hackerone, процесс аутентификации выглядит следующим образом:

Email + Password => ✅ => 2FA code => ✅ => Logged In.

Я не смог найти ни одной уязвимости, чтобы пропустить один из приведенных выше шагов для обхода аутентификации.

Как отключить 2FA?

Читать далее

Подробнее

Читайте также

Как наладить управление ИТ командой, не привлекая внимания санитаров (про оценки и списания)
05.03.2025 04:37:35 | Хабр

HONOR вложит $10 млрд в изучение и внедрение ИИ в свои смартфоны
05.03.2025 04:30:00 | ferra.ru

Вход на сайт через Госуслуги на PHP
05.03.2025 04:15:29 | Хабр

Защита от хронических болезней и другие полезные свойства ежедневного употребления черники
05.03.2025 03:45:00 | ferra.ru

Шеф-повар предупредил об опасности для здоровья мытья сырой курицы
05.03.2025 03:00:00 | ferra.ru

Apple внедрит в «умные» колонки функции раздачи интернета
05.03.2025 02:15:00 | ferra.ru

iPhone 16e оказался мало кому интересен: предзаказ не оправдал ожиданий Apple
05.03.2025 01:30:00 | ferra.ru

SpaceX заявила о потере ракеты Falcon 9 из-за пожара в хвостовой части
05.03.2025 00:45:00 | ferra.ru

Протеиновые коктейли оказались полезны для похудения
05.03.2025 00:00:00 | ferra.ru

Научная фантастика в NASA
04.03.2025 23:24:14 | Хабр

В Госдуме призвали начинать борьбу с ожирением со школьной скамьи
04.03.2025 23:15:13 | ferra.ru

Xiaomi 15 Ultra не дотянул по качеству камер до Samsung S25 Ultra и iPhone 16 Pro Max в сравнении
04.03.2025 23:15:00 | ferra.ru

Аллерголог: четверть россиян страдает каким-либо аллергическим заболеванием
04.03.2025 23:07:12 | ferra.ru

Врач: отказ от фастфуда и сладких напитков — способ профилактики ожирения
04.03.2025 23:02:03 | ferra.ru

Управление bluetooth из js или как я реверсинжинирил умный чайник
04.03.2025 22:44:15 | Хабр

Смартфон до 25 тысяч рублей: HONOR X8c против Poco X7
04.03.2025 22:30:00 | ferra.ru

Unity3d CodeDOM. Генерация кода на лету
04.03.2025 22:12:55 | Хабр

HONOR Magic 7 Pro сравнили с Samsung S25 Ultra по качеству фото и видео
04.03.2025 21:45:00 | ferra.ru

Анализируем продажи вместе с ИИ
04.03.2025 21:42:20 | Хабр

Сфоткал и улучшил качество нейросетью? HONOR Magic 7 Pro улучшает снятые фото СРАЗУ со смартфона
04.03.2025 21:25:28 | ferra.ru

Учёные: вода во Вселенной появилась через 200 млн лет после Большого взрыва
04.03.2025 21:00:00 | ferra.ru

Скользящая средняя – полное руководство по использованию
04.03.2025 20:58:53 | Хабр

Локаторы. Стратегии поиска веб-элементов
04.03.2025 20:49:30 | Хабр

Как эксперту создать свою базу знаний
04.03.2025 20:44:52 | Хабр

Бот ChatGPT оказался подвержен «тревожности» из-за негативных новостей
04.03.2025 20:15:00 | ferra.ru

Офтальмолог: смартфоны ведут к патологиям зрения у дошкольников даже при умеренном использовании
04.03.2025 19:42:24 | ferra.ru

Как использовать тепловую карту ликвидации Bitcoin
04.03.2025 19:40:38 | Хабр

Tecno выпустил супер-лёгкий OLED-ноутбук Megabook S14 весом всего 899 г
04.03.2025 19:38:16 | ferra.ru

Digital Twin — цифровая копия физической системы
04.03.2025 19:33:13 | Хабр

Ультимативный гайд по стартапу (2025)
04.03.2025 19:32:41 | Хабр

Уже 3,2 млн пользователей пострадали от поддельных расширений для Chrome
04.03.2025 19:30:00 | ferra.ru

Nothing представила смартфоны Phone (3a) и (3a) Pro с ИИ-организацией данных
04.03.2025 19:26:58 | ferra.ru

Клавиатура для VK Видео 2.0 от Андрея Феликсовича
04.03.2025 19:24:51 | Хабр

Sparrowdo — альтернатива Ansible
04.03.2025 18:50:03 | Хабр

TSMC вложит $100 млрд в строительство пяти новых заводов в США
04.03.2025 18:45:00 | ferra.ru

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Российский Т-90МС отправили на СВО после выставки
15.09.2025 15:23:22 | Lenta.ru

В Воронежской области умер пострадавший из-за падения БПЛА 7 сентября мужчина
15.09.2025 15:23:11 | ТАСС

Пугачеву обвинили в трате денег Киркорова в казино
15.09.2025 15:22:55 | Lenta.ru

Экстремистские материалы заметили в офисе «Русской общины»
15.09.2025 15:21:48 | Lenta.ru

Израильская клиника в Москве потребовала 2,4 миллиона рублей от родных умершего пациента
15.09.2025 15:21:37 | Lenta.ru

В Архангельске увековечили память геофизика Феликса Юдахина
15.09.2025 15:21:11 | ТАСС

Аграрии Херсонской области проявили интерес к белорусским тракторам и удобрениям
15.09.2025 15:21:00 | Российская Газета

Трамп в пятницу проведет разговор с председателем КНР Си Цзиньпином
15.09.2025 15:20:41 | ТАСС

В Кремле слышали слова Трампа об иссякающем терпении
15.09.2025 15:20:10 | ТАСС

"Газпром нефть" и ТИУ будут совместно готовить инженеров для нефтегазовой отрасли
15.09.2025 15:19:31 | ТАСС

Число аварий на трассе "Новороссия" снизилось на 15% с начала 2025 года
15.09.2025 15:19:16 | ТАСС

«При таких темпах главное — Купянск не проскочить». Военный блогер выступил против необоснованно благоприятных сводок из зоны СВО
15.09.2025 15:18:33 | Lenta.ru

Дмитрия Махонина избрали на должность губернатора Пермского края
15.09.2025 15:17:47 | ТАСС

Желающий защитить сына от тюрьмы россиянин заявил в СК на адвокатов
15.09.2025 15:17:20 | Lenta.ru

Перенесшая операцию Симоньян высказалась о страхе смерти
15.09.2025 15:16:49 | Lenta.ru

Правительство одобрило законопроект об ужесточении рекламы энергетиков
15.09.2025 15:16:49 | ТАСС

Карту "Мир" теперь можно использовать как билет на канатки курорта "Архыз"
15.09.2025 15:16:43 | ТАСС

Китай ограничил экспорт важного металла для производства ракет и дронов
15.09.2025 15:16:40 | РЕН ТВ

«Это борьба с российским влиянием». США и Канада провели военные учения в стратегически важном регионе. Как это угрожает России?
15.09.2025 15:16:28 | Lenta.ru

Явка на выборах главы Татарстана составила 75,85%
15.09.2025 15:16:06 | ТАСС

В России раскритиковали законопроект о родительском участии в управлении школами
15.09.2025 15:15:45 | Lenta.ru

Пассажир упал на землю с целью помешать полиции высадить его из самолета и попал на видео
15.09.2025 15:15:31 | Lenta.ru

Госсекретарь США Рубио призвал уничтожить ХАМАС ради мира на Ближнем Востоке
15.09.2025 15:15:00 | Российская Газета

Стало известно о попытке спасателей забрать тело погибшей в горах чемпионки ОИ по биатлону
15.09.2025 15:14:44 | Lenta.ru

Независимые трейдеры сократили за месяц предложение бензина и дизеля на бирже
15.09.2025 15:14:30 | ТАСС

Белоруссия продолжит традицию проведения совместных с Россией учений "Запад"
15.09.2025 15:14:15 | ТАСС

Языковой омбудсмен Украины назвала "Машу и медведя" "инструментом влияния" КГБ
15.09.2025 15:12:55 | ТАСС

В суде сделали заявление по иску об изъятии активов экс-советника Чубайса и его компаньона
15.09.2025 15:12:15 | Lenta.ru

Путин по ВКС участвует в открытии новых объектов санитарного щита России
15.09.2025 15:12:12 | ТАСС

Главы районов Самары ушли в отставку в связи с реформой местного самоуправления
15.09.2025 15:11:56 | ТАСС

Премьер Испании: Израиль и Россию стоит отстранить от спортивных соревнований
15.09.2025 15:11:55 | ТАСС

В Max в пилотном режиме запустили создание цифрового аналога бумажных документов
15.09.2025 15:11:40 | ТАСС

Рубио: международное признание Палестины придаст ХАМАС больше уверенности
15.09.2025 15:11:40 | ТАСС

Глава AmCham: технологические компании США хотят возобновить работу в РФ
15.09.2025 15:11:39 | ТАСС

Эксперт по ПВО объяснил отсутствие боевой части у беспилотников над Польшей
15.09.2025 15:11:38 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro