[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

09.03.2025 09:25:11 | Хабр

Хабы: Информационная безопасность

Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл:

Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода двухфакторной аутентификации (2FA) — уязвимость, которая оказалась удивительно простой, но критической.

Обнаружение

После входа в систему с правильными данными система отправляет пользователю одноразовый пароль (OTP) из 3 цифр для прохождения двухфакторной аутентификации. Пользователю необходимо было ввести правильный OTP в POST-запросе, чтобы продолжить работу.

После анализа структуры POST-запроса я обнаружил интересный параметр, который я назову RAREPARA (не настоящее название). Этот параметр отвечал за ограничение частоты запросов.

Это пример структуры запроса, но он не является реальным.

Читать далее

Подробнее

Читайте также

Делаем авторизацию в Telegram Mini Apps правильно
09.03.2025 09:16:26 | Хабр

[Перевод] История S.u.S.E. Кульминация
09.03.2025 09:01:20 | Хабр

Закладки для Задач — и мысли вслух
09.03.2025 08:56:48 | Хабр

Сможет ли AI создать идеального Шрека? Тестируем 3D-генераторы в поисках лучшего огра
09.03.2025 08:31:04 | Хабр

Управление проектами: дайджест публикаций #27
09.03.2025 08:18:02 | Хабр

Лучший в 2025 г. и единственный впечатляющий складной смартфон: HUAWEI Mate XT Ultimate Design
09.03.2025 08:17:00 | ferra.ru

Как улучшить цветовую доступность для пользователей с дальтонизмом
09.03.2025 08:16:09 | Хабр

Как появление знаменитостей (не) сделало игры лучше
09.03.2025 08:15:37 | Хабр

Micro Pocket SSB приемник на базе ESP32 и SI4732. Что за девайс и для чего?
09.03.2025 08:03:04 | Хабр

LLM обычно так не используют. А мы попробуем
09.03.2025 07:58:30 | Хабр

Как быстро перенести разметку статьи на Хабр
09.03.2025 07:20:29 | Хабр

СКУД Унификация подключения датчиков
09.03.2025 07:15:03 | Хабр

Ностальгические игры: Unreal Tournament 2004
09.03.2025 07:05:57 | Хабр

Промпт-инжиниринг: от базовых принципов к научно обоснованным стратегиям
09.03.2025 06:55:09 | Хабр

Приключение Aéza или Тайна планеты Рбах
09.03.2025 06:50:15 | Хабр

Как оценить индивидуальный вклад разработчика в проект
09.03.2025 06:25:44 | Хабр

Я устроился на работу в 2025 году, и вот как это вышло
09.03.2025 06:15:39 | Хабр

[Перевод] Терапия стволовыми клетками устраняет «необратимые» повреждения роговицы
09.03.2025 05:46:43 | Хабр

Рассказываю что бывает, когда вода попадает внутрь кабеля связи
09.03.2025 05:37:19 | Хабр

Запрет рекламы криптовалюты в России: основные изменения, исключения и ответственность
09.03.2025 05:15:31 | Хабр

Что выбрать: продвижение на картах 2ГИС или Яндекс Карты
09.03.2025 04:23:19 | Хабр

Психология разработки: как когнитивные искажения влияют на архитектурные решения и качество кода (часть 1)
09.03.2025 00:43:04 | Хабр

Вирусолог назвала роковым для человека мутировавший птичий грипп
09.03.2025 00:00:00 | ferra.ru

Врач: одна из причин синдрома запястного канала — нагрузка на запястья и руки
08.03.2025 23:15:00 | ferra.ru

Samsung начала тестировать One UI 8 на Galaxy S25 и двух складных смартфонах
08.03.2025 21:45:00 | ferra.ru

Apple выиграла патентный спор и добилась ввоза в США смарт-часов Apple Watch
08.03.2025 21:00:00 | ferra.ru

Разворачиваем микрофронты на Next.js
08.03.2025 20:23:20 | Хабр

Голландский производитель «экологичных смартфонов» дважды допустил утечку данных
08.03.2025 20:15:00 | ferra.ru

Взрыв Starship нарушил авиасообщение США: были изменены 240 рейсов
08.03.2025 19:30:00 | ferra.ru

Китайский автопроизводитель начнёт выпускать летающие автомобили в 2026 году
08.03.2025 18:45:00 | ferra.ru

iPhone 17 Air и складной iPhone получат одинаковый аккумулятор «высокой плотности»
08.03.2025 18:00:00 | ferra.ru

Осколки прошлого. Часть 1. 30 фактов из игровой индустрии за — 8 ноября 1980 года +
08.03.2025 17:47:45 | Хабр

Apple внезапно отложила все обновления Siri на неопределённый срок
08.03.2025 17:15:00 | ferra.ru

Типичные ошибки начинающих в SQL
08.03.2025 17:14:45 | Хабр

Блогер Александра Митрошина признала вину в отмывании денег
08.03.2025 17:13:13 | vc.ru

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Россия заявила о риске срыва переговоров с Украиной
02.06.2025 22:31:22 | Lenta.ru

Зеленский утверждает, что Украину пригласили на июньский саммит НАТО в Гааге
02.06.2025 22:31:00 | Российская Газета

ТАСС: на границе РФ нашли тело испанского наемника из числа ВСУ
02.06.2025 22:27:44 | ТАСС

Мединский сообщил об обращениях украинских родителей за помощью к российским консульствам
02.06.2025 22:27:03 | Lenta.ru

Созданы модели ИИ для управления компьютером с помощью глаз
02.06.2025 22:26:29 | ТАСС

Товарооборот между Новгородской областью и Белоруссией вырос на 15%
02.06.2025 22:21:48 | ТАСС

В ЕС оценили готовность нового пакета санкций против России
02.06.2025 22:19:24 | Lenta.ru

Школьницу в Прикамье не просили "поднять юбку" в пункте сдачи ЕГЭ
02.06.2025 22:16:53 | ТАСС

Семь человек пострадали в ДТП с пассажирским автобусом в Воронеже
02.06.2025 22:16:51 | РЕН ТВ

Два человека пострадали при атаке ВСУ на Белгородскую область
02.06.2025 22:14:49 | Life.ru

Туск планирует запросить вотум доверия правительству в Сейм в ближайшее время
02.06.2025 22:14:24 | РЕН ТВ

В Токмаке Запорожской области ВСУ атаковали электроподстанцию
02.06.2025 22:12:28 | ТАСС

В Новгороде победителем кинофестиваля стал фильм "Привычка нюхать пальцы"
02.06.2025 22:12:04 | ТАСС

В США заявили о тактической победе России
02.06.2025 22:11:35 | Lenta.ru

Баскетболисты УНИКСа выиграли бронзовые медали Единой лиги ВТБ
02.06.2025 22:09:16 | ТАСС

В Калмыкии завершают строительство станции водоподготовки для 14 тыс. жителей
02.06.2025 22:09:03 | ТАСС

Лавров обсудил с замгенсека ООН Украину
02.06.2025 22:07:59 | ТАСС

В Раде обратили внимание на шеврон у переговорщика от Украины в Стамбуле
02.06.2025 22:07:13 | Lenta.ru

Что известно об итогах второго раунда переговоров России и Украины в Стамбуле
02.06.2025 22:07:00 | Российская Газета

В двух областях Украины объявили воздушную тревогу
02.06.2025 22:05:31 | ТАСС

«Радиостанция Судного дня» передала сообщения после переговоров в Турции
02.06.2025 22:02:49 | Lenta.ru

Состояние водителя, попавшего в ДТП под Волгоградом, улучшилось
02.06.2025 22:01:20 | ТАСС

В Нижнем Новгороде комиссия Минтранса одобрила выделение субсидии на пятый мост
02.06.2025 21:59:52 | ТАСС

Отправляемся в ад бесплатно! В Steam раздают Hellslave
02.06.2025 21:59:33 | PlayGround.ru

Переговоры российской и украинской делегаций в Стамбуле: главное
02.06.2025 21:59:06 | РЕН ТВ

Переговоры российской и украинкой делегаций в Стамбуле: главное
02.06.2025 21:58:29 | РЕН ТВ

В России допустили встречу Путина и Зеленского
02.06.2025 21:58:00 | Lenta.ru

В Крыму открылась художественная ассамблея "Арт-море"
02.06.2025 21:57:24 | ТАСС

Актер Джонатан Джосс погиб из-за стрельбы
02.06.2025 21:56:07 | ТАСС

RT: Репортер WSJ Люксмур испугался брать интервью у Мединского
02.06.2025 21:54:00 | Российская Газета

В МИДе напомнили о возможном отказе во въезде россиянам в Южную Корею
02.06.2025 21:52:15 | РБК

Слуцкий рассказал, как определить готовность Украины к миру, и Киев уже провалил этот тест
02.06.2025 21:51:35 | Life.ru

Число посетивших кластер "Арзамас - Дивеево - Саров" туристов достигло 1,8 млн
02.06.2025 21:50:17 | ТАСС

Зеленский заявил о наступлении России на нескольких направлениях
02.06.2025 21:50:11 | Lenta.ru

В Липецке оштрафовали мать подростка, бросившего Библию в реку
02.06.2025 21:50:03 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro