[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

09.03.2025 09:25:11 | Хабр

Хабы: Информационная безопасность

Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл:

Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода двухфакторной аутентификации (2FA) — уязвимость, которая оказалась удивительно простой, но критической.

Обнаружение

После входа в систему с правильными данными система отправляет пользователю одноразовый пароль (OTP) из 3 цифр для прохождения двухфакторной аутентификации. Пользователю необходимо было ввести правильный OTP в POST-запросе, чтобы продолжить работу.

После анализа структуры POST-запроса я обнаружил интересный параметр, который я назову RAREPARA (не настоящее название). Этот параметр отвечал за ограничение частоты запросов.

Это пример структуры запроса, но он не является реальным.

Читать далее

Подробнее

Читайте также

Делаем авторизацию в Telegram Mini Apps правильно
09.03.2025 09:16:26 | Хабр

[Перевод] История S.u.S.E. Кульминация
09.03.2025 09:01:20 | Хабр

Закладки для Задач — и мысли вслух
09.03.2025 08:56:48 | Хабр

Сможет ли AI создать идеального Шрека? Тестируем 3D-генераторы в поисках лучшего огра
09.03.2025 08:31:04 | Хабр

Управление проектами: дайджест публикаций #27
09.03.2025 08:18:02 | Хабр

Лучший в 2025 г. и единственный впечатляющий складной смартфон: HUAWEI Mate XT Ultimate Design
09.03.2025 08:17:00 | ferra.ru

Как улучшить цветовую доступность для пользователей с дальтонизмом
09.03.2025 08:16:09 | Хабр

Как появление знаменитостей (не) сделало игры лучше
09.03.2025 08:15:37 | Хабр

Micro Pocket SSB приемник на базе ESP32 и SI4732. Что за девайс и для чего?
09.03.2025 08:03:04 | Хабр

LLM обычно так не используют. А мы попробуем
09.03.2025 07:58:30 | Хабр

Как быстро перенести разметку статьи на Хабр
09.03.2025 07:20:29 | Хабр

СКУД Унификация подключения датчиков
09.03.2025 07:15:03 | Хабр

Ностальгические игры: Unreal Tournament 2004
09.03.2025 07:05:57 | Хабр

Промпт-инжиниринг: от базовых принципов к научно обоснованным стратегиям
09.03.2025 06:55:09 | Хабр

Приключение Aéza или Тайна планеты Рбах
09.03.2025 06:50:15 | Хабр

Как оценить индивидуальный вклад разработчика в проект
09.03.2025 06:25:44 | Хабр

Я устроился на работу в 2025 году, и вот как это вышло
09.03.2025 06:15:39 | Хабр

[Перевод] Терапия стволовыми клетками устраняет «необратимые» повреждения роговицы
09.03.2025 05:46:43 | Хабр

Рассказываю что бывает, когда вода попадает внутрь кабеля связи
09.03.2025 05:37:19 | Хабр

Запрет рекламы криптовалюты в России: основные изменения, исключения и ответственность
09.03.2025 05:15:31 | Хабр

Что выбрать: продвижение на картах 2ГИС или Яндекс Карты
09.03.2025 04:23:19 | Хабр

Психология разработки: как когнитивные искажения влияют на архитектурные решения и качество кода (часть 1)
09.03.2025 00:43:04 | Хабр

Вирусолог назвала роковым для человека мутировавший птичий грипп
09.03.2025 00:00:00 | ferra.ru

Врач: одна из причин синдрома запястного канала — нагрузка на запястья и руки
08.03.2025 23:15:00 | ferra.ru

Samsung начала тестировать One UI 8 на Galaxy S25 и двух складных смартфонах
08.03.2025 21:45:00 | ferra.ru

Apple выиграла патентный спор и добилась ввоза в США смарт-часов Apple Watch
08.03.2025 21:00:00 | ferra.ru

Разворачиваем микрофронты на Next.js
08.03.2025 20:23:20 | Хабр

Голландский производитель «экологичных смартфонов» дважды допустил утечку данных
08.03.2025 20:15:00 | ferra.ru

Взрыв Starship нарушил авиасообщение США: были изменены 240 рейсов
08.03.2025 19:30:00 | ferra.ru

Китайский автопроизводитель начнёт выпускать летающие автомобили в 2026 году
08.03.2025 18:45:00 | ferra.ru

iPhone 17 Air и складной iPhone получат одинаковый аккумулятор «высокой плотности»
08.03.2025 18:00:00 | ferra.ru

Осколки прошлого. Часть 1. 30 фактов из игровой индустрии за — 8 ноября 1980 года +
08.03.2025 17:47:45 | Хабр

Apple внезапно отложила все обновления Siri на неопределённый срок
08.03.2025 17:15:00 | ferra.ru

Типичные ошибки начинающих в SQL
08.03.2025 17:14:45 | Хабр

Блогер Александра Митрошина признала вину в отмывании денег
08.03.2025 17:13:13 | vc.ru

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

"Ловкость и опыт": почему в Марокко козы пасутся на деревьях
23.06.2025 06:15:00 | РЕН ТВ

В Британии раскритиковали атаки Украины на Россию
23.06.2025 06:12:00 | Lenta.ru

Туристы в Танзании сняли на видео питона, целиком проглотившего антилопу
23.06.2025 06:08:00 | Российская Газета

Командир Пчела рассказал, как ВС РФ одурачили ВСУ, пройдя 6 км через камыш
23.06.2025 06:06:53 | РЕН ТВ

Эксперт Борисова: преподавать историю в начальной школе нужно в игровой форме
23.06.2025 06:06:32 | ТАСС

Марочко: потери ВСУ за неделю в боях у ЛНР составили 4,1 тыс. солдат и наемников
23.06.2025 06:05:35 | ТАСС

В Москве ожидаются облачная погода и до плюс 20 градусов
23.06.2025 06:05:18 | ТАСС

Марочко: ВСУ в минувшую неделю отступали у ЛНР, бросая стратегические высоты
23.06.2025 06:04:32 | ТАСС

Экс-сотрудник ЦРУ предрек «непривычные» для США переговоры с Россией
23.06.2025 06:04:21 | Lenta.ru

ТАСС: комбат ВСУ в сумском приграничье за $10 тыс. дает бессрочные отпуска
23.06.2025 06:03:30 | ТАСС

Додон: в Молдавии не готовы к политическому урегулированию с Приднестровьем
23.06.2025 06:02:27 | ТАСС

Выбежавший из квартиры бультерьер искусал мать с ребенком во Владивостоке
23.06.2025 06:02:25 | РЕН ТВ

Названы полезные растительные продукты для женского здоровья
23.06.2025 06:02:12 | Lenta.ru

Похороны давно забытой любовницы мужа спровоцировали скандал в семье
23.06.2025 06:02:09 | Lenta.ru

Марочко: потери ВСУ за неделю в боях у ЛНР составили 4,1 тыс. солдат и наемников
23.06.2025 06:01:47 | ТАСС

Додон6 Запад намерен держать Приднестровье как потенциальную горячую точку для РФ
23.06.2025 06:01:44 | ТАСС

Додон: Санду и Речан станут предателями, если реализуют силовой сценарий в Приднестровье
23.06.2025 06:01:23 | ТАСС

Настольная лампа из гаечных ключей: как сделать необычный светильник
23.06.2025 06:00:00 | РЕН ТВ

В России заявили об установлении трансгендерного режима в США
23.06.2025 05:58:26 | Lenta.ru

Минцифры РФ предлагает запретить перепрошивку мобильных устройств
23.06.2025 05:54:35 | Life.ru

Мужчина на пикапе въехал в церковь в Мичигане и открыл стрельбу
23.06.2025 05:44:19 | РЕН ТВ

Минцифры предложило запретить перепрошивать мобильные устройства
23.06.2025 05:44:07 | РБК

Трамп: Удары США по ядерным объектам в Иране попали «в яблочко»
23.06.2025 05:43:49 | Life.ru

"Ночной охотник" уничтожил пункт временной дислокации с боевиками ВСУ
23.06.2025 05:40:54 | РЕН ТВ

Россиянин описал напиток в Мексике фразой «глаза расширились, потом сузились»
23.06.2025 05:37:31 | Lenta.ru

Бойцы отряда "Барс-31" уничтожили тягач ВСУ на краматорско-дружковском направлении
23.06.2025 05:34:51 | ТАСС

В Кузбассе рассмотрят возможность создания теплиц и майнинг-ферм возле угольных разрезов
23.06.2025 05:34:19 | ТАСС

Новый лагерь "Артека" позволит увеличить поток детей с 45 тыс. до 56 тыс. в год
23.06.2025 05:34:05 | ТАСС

В Нью-Йорке начались антивоенные протесты после ударов США по Ирану
23.06.2025 05:34:04 | РЕН ТВ

Ещё в одном регионе России стали отключать мобильный интернет
23.06.2025 05:30:56 | Life.ru

Стало известно об угрозах Ирана активировать «спящие ячейки» в США
23.06.2025 05:30:20 | Lenta.ru

В Новосибирске женщину приговорили к 9 годам за сбыт наркотиков
23.06.2025 05:29:31 | ТАСС

На Украине отменили воздушную тревогу
23.06.2025 05:29:13 | ТАСС

Британский аналитик заметил изменения в речах Зеленского
23.06.2025 05:28:16 | Lenta.ru

Трамп: удары США по ядерным объектам Ирана попали "в яблочко"
23.06.2025 05:26:17 | РЕН ТВ

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro