[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

Операция выполнена!

info@vsetut.pro

О проекте

Вернуться

[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

09.03.2025 09:25:11 | Хабр

Хабы: Информационная безопасность

Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл:

Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода двухфакторной аутентификации (2FA) — уязвимость, которая оказалась удивительно простой, но критической.

Обнаружение

После входа в систему с правильными данными система отправляет пользователю одноразовый пароль (OTP) из 3 цифр для прохождения двухфакторной аутентификации. Пользователю необходимо было ввести правильный OTP в POST-запросе, чтобы продолжить работу.

После анализа структуры POST-запроса я обнаружил интересный параметр, который я назову RAREPARA (не настоящее название). Этот параметр отвечал за ограничение частоты запросов.

Это пример структуры запроса, но он не является реальным.

Читать далее

Подробнее

Читайте также

Делаем авторизацию в Telegram Mini Apps правильно
09.03.2025 09:16:26 | Хабр

[Перевод] История S.u.S.E. Кульминация
09.03.2025 09:01:20 | Хабр

Закладки для Задач — и мысли вслух
09.03.2025 08:56:48 | Хабр

Сможет ли AI создать идеального Шрека? Тестируем 3D-генераторы в поисках лучшего огра
09.03.2025 08:31:04 | Хабр

Управление проектами: дайджест публикаций #27
09.03.2025 08:18:02 | Хабр

Лучший в 2025 г. и единственный впечатляющий складной смартфон: HUAWEI Mate XT Ultimate Design
09.03.2025 08:17:00 | ferra.ru

Как улучшить цветовую доступность для пользователей с дальтонизмом
09.03.2025 08:16:09 | Хабр

Как появление знаменитостей (не) сделало игры лучше
09.03.2025 08:15:37 | Хабр

Micro Pocket SSB приемник на базе ESP32 и SI4732. Что за девайс и для чего?
09.03.2025 08:03:04 | Хабр

LLM обычно так не используют. А мы попробуем
09.03.2025 07:58:30 | Хабр

Как быстро перенести разметку статьи на Хабр
09.03.2025 07:20:29 | Хабр

СКУД Унификация подключения датчиков
09.03.2025 07:15:03 | Хабр

Ностальгические игры: Unreal Tournament 2004
09.03.2025 07:05:57 | Хабр

Промпт-инжиниринг: от базовых принципов к научно обоснованным стратегиям
09.03.2025 06:55:09 | Хабр

Приключение Aéza или Тайна планеты Рбах
09.03.2025 06:50:15 | Хабр

Как оценить индивидуальный вклад разработчика в проект
09.03.2025 06:25:44 | Хабр

Я устроился на работу в 2025 году, и вот как это вышло
09.03.2025 06:15:39 | Хабр

[Перевод] Терапия стволовыми клетками устраняет «необратимые» повреждения роговицы
09.03.2025 05:46:43 | Хабр

Рассказываю что бывает, когда вода попадает внутрь кабеля связи
09.03.2025 05:37:19 | Хабр

Запрет рекламы криптовалюты в России: основные изменения, исключения и ответственность
09.03.2025 05:15:31 | Хабр

Что выбрать: продвижение на картах 2ГИС или Яндекс Карты
09.03.2025 04:23:19 | Хабр

Психология разработки: как когнитивные искажения влияют на архитектурные решения и качество кода (часть 1)
09.03.2025 00:43:04 | Хабр

Вирусолог назвала роковым для человека мутировавший птичий грипп
09.03.2025 00:00:00 | ferra.ru

Врач: одна из причин синдрома запястного канала — нагрузка на запястья и руки
08.03.2025 23:15:00 | ferra.ru

Samsung начала тестировать One UI 8 на Galaxy S25 и двух складных смартфонах
08.03.2025 21:45:00 | ferra.ru

Apple выиграла патентный спор и добилась ввоза в США смарт-часов Apple Watch
08.03.2025 21:00:00 | ferra.ru

Разворачиваем микрофронты на Next.js
08.03.2025 20:23:20 | Хабр

Голландский производитель «экологичных смартфонов» дважды допустил утечку данных
08.03.2025 20:15:00 | ferra.ru

Взрыв Starship нарушил авиасообщение США: были изменены 240 рейсов
08.03.2025 19:30:00 | ferra.ru

Китайский автопроизводитель начнёт выпускать летающие автомобили в 2026 году
08.03.2025 18:45:00 | ferra.ru

iPhone 17 Air и складной iPhone получат одинаковый аккумулятор «высокой плотности»
08.03.2025 18:00:00 | ferra.ru

Осколки прошлого. Часть 1. 30 фактов из игровой индустрии за — 8 ноября 1980 года +
08.03.2025 17:47:45 | Хабр

Apple внезапно отложила все обновления Siri на неопределённый срок
08.03.2025 17:15:00 | ferra.ru

Типичные ошибки начинающих в SQL
08.03.2025 17:14:45 | Хабр

Блогер Александра Митрошина признала вину в отмывании денег
08.03.2025 17:13:13 | vc.ru

Смотреть все

НОВОСТИ

Маск назвал безумием отказ утверждать Джорджеску на выборах президента Румынии
09.03.2025 21:43:12 | ТАСС

Маск заявил, что никогда не отключит Starlink на Украине
09.03.2025 21:40:00 | Российская Газета

В Румынии начались протесты из-за недопуска Джорджеску к президентским выборам
09.03.2025 21:36:32 | Life.ru

Соседние с Сирией страны призвали СБ ООН обеспечить вывод ЦАХАЛ с ее территории
09.03.2025 21:32:37 | ТАСС

Кандидатуру Джорджеску отклонили на выборах президента Румынии
09.03.2025 21:30:58 | ТАСС

В Воронежской области объявили опасность атаки беспилотников
09.03.2025 21:30:47 | ТАСС

Футболисты "Рубина" впервые с 2021 года обыграли "Спартак"
09.03.2025 21:30:15 | ТАСС

ТАСС: у вице-губернатора Вологодской области и его подельника изъяли 50 млн руб.
09.03.2025 21:28:45 | Коммерсантъ

Соседние с Сирией страны объявили о начале операции по борьбе с ИГИЛ*
09.03.2025 21:27:07 | Life.ru

Израиль прекращает подачу электричества в сектор Газа
09.03.2025 21:22:45 | Life.ru

Shaman планирует провести первый открытый урок музыки в школах в марте
09.03.2025 21:10:15 | ТАСС

«Мы пара»: Shaman на сцене признался в чувствах к Мизулиной
09.03.2025 21:08:09 | Life.ru

ВСУ атаковали три населенных пункта в Белгородской области
09.03.2025 21:07:57 | ТАСС

Трамп: Украина может не выжить в любом случае
09.03.2025 21:07:00 | Российская Газета

Сенатор Грэм внесет в Конгресс США законопроект о новых санкциях против РФ
09.03.2025 21:05:23 | ТАСС

ТАСС публикует видео из освобожденного Черкасского Поречного
09.03.2025 21:04:56 | ТАСС

В Индийском океане начались совместные учения России, Китая и Ирана
09.03.2025 21:04:03 | Life.ru

Голы Мбаппе и Винисиуса принесли «Реалу» победу над «Райо Вальекано»
09.03.2025 20:59:08 | РБК

Рядом с Иерусалимом нашли 1500-летний скелет женщины в цепях
09.03.2025 20:55:40 | РБК

Пушилин сообщил о переброске сил ВСУ с курского приграничья
09.03.2025 20:53:23 | Life.ru

Сборная Норвегии призналась в читерстве с экипировкой на домашнем ЧМ
09.03.2025 20:53:14 | РБК

В Россию привезли новый надежный американский седан по цене Лады
09.03.2025 20:52:35 | За рулем

Дональд Трамп не котируется на криптобиржах // Курсы цифровых валют откатились к многомесячным минимумам
09.03.2025 20:51:44 | Коммерсантъ

Shafaq news: в Сирии число погибших граждан в ходе столкновений выросло до 830
09.03.2025 20:51:12 | ТАСС

В Иерусалиме нашли скелет женщины, закованный в металлические цепи
09.03.2025 20:51:08 | Life.ru

В Runes of Mystery вышло обновление: Глава IV "Земли отчаяния"
09.03.2025 20:49:08 | PlayGround.ru

Сборная России по пляжному футболу обыграла команду Ирана в товарищеском матче
09.03.2025 20:48:36 | ТАСС

«Замолчи, маленький человечек»: Маск унизил главу МИД Польши после слов о замене Starlink
09.03.2025 20:44:45 | Life.ru

Число погибших и раненых при обстреле ВСУ рынка в Великих Копанях выросло до девяти
09.03.2025 20:44:00 | Российская Газета

Думали, что обезьяна: В центре Москвы спасателей подняли по тревоге из-за мусорного пакета
09.03.2025 20:39:42 | Life.ru

В России за 5,3 млн рублей продают копию Mercedes-Benz T1 из 1977 года, машины — из Индии
09.03.2025 20:39:00 | iXBT.com

Биография Артема Дзюбы
09.03.2025 20:38:04 | ТАСС

В Польше высказались об угрозах Маска отключить Starlink на Украине
09.03.2025 20:35:02 | Life.ru

«Матерь бложья» нашла понимание у следствия // После признания вины Александре Митрошиной попросят домашний арест
09.03.2025 20:31:45 | Коммерсантъ

Автомобили популярного в России бренда подешевели на сотни тысяч рублей
09.03.2025 20:30:20 | За рулем

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro