[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический

09.03.2025 09:25:11 | Хабр

Хабы: Информационная безопасность

Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл:

Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода двухфакторной аутентификации (2FA) — уязвимость, которая оказалась удивительно простой, но критической.

Обнаружение

После входа в систему с правильными данными система отправляет пользователю одноразовый пароль (OTP) из 3 цифр для прохождения двухфакторной аутентификации. Пользователю необходимо было ввести правильный OTP в POST-запросе, чтобы продолжить работу.

После анализа структуры POST-запроса я обнаружил интересный параметр, который я назову RAREPARA (не настоящее название). Этот параметр отвечал за ограничение частоты запросов.

Это пример структуры запроса, но он не является реальным.

Читать далее

Подробнее

Читайте также

Делаем авторизацию в Telegram Mini Apps правильно
09.03.2025 09:16:26 | Хабр

[Перевод] История S.u.S.E. Кульминация
09.03.2025 09:01:20 | Хабр

Закладки для Задач — и мысли вслух
09.03.2025 08:56:48 | Хабр

Сможет ли AI создать идеального Шрека? Тестируем 3D-генераторы в поисках лучшего огра
09.03.2025 08:31:04 | Хабр

Управление проектами: дайджест публикаций #27
09.03.2025 08:18:02 | Хабр

Лучший в 2025 г. и единственный впечатляющий складной смартфон: HUAWEI Mate XT Ultimate Design
09.03.2025 08:17:00 | ferra.ru

Как улучшить цветовую доступность для пользователей с дальтонизмом
09.03.2025 08:16:09 | Хабр

Как появление знаменитостей (не) сделало игры лучше
09.03.2025 08:15:37 | Хабр

Micro Pocket SSB приемник на базе ESP32 и SI4732. Что за девайс и для чего?
09.03.2025 08:03:04 | Хабр

LLM обычно так не используют. А мы попробуем
09.03.2025 07:58:30 | Хабр

Как быстро перенести разметку статьи на Хабр
09.03.2025 07:20:29 | Хабр

СКУД Унификация подключения датчиков
09.03.2025 07:15:03 | Хабр

Ностальгические игры: Unreal Tournament 2004
09.03.2025 07:05:57 | Хабр

Промпт-инжиниринг: от базовых принципов к научно обоснованным стратегиям
09.03.2025 06:55:09 | Хабр

Приключение Aéza или Тайна планеты Рбах
09.03.2025 06:50:15 | Хабр

Как оценить индивидуальный вклад разработчика в проект
09.03.2025 06:25:44 | Хабр

Я устроился на работу в 2025 году, и вот как это вышло
09.03.2025 06:15:39 | Хабр

[Перевод] Терапия стволовыми клетками устраняет «необратимые» повреждения роговицы
09.03.2025 05:46:43 | Хабр

Рассказываю что бывает, когда вода попадает внутрь кабеля связи
09.03.2025 05:37:19 | Хабр

Запрет рекламы криптовалюты в России: основные изменения, исключения и ответственность
09.03.2025 05:15:31 | Хабр

Что выбрать: продвижение на картах 2ГИС или Яндекс Карты
09.03.2025 04:23:19 | Хабр

Психология разработки: как когнитивные искажения влияют на архитектурные решения и качество кода (часть 1)
09.03.2025 00:43:04 | Хабр

Вирусолог назвала роковым для человека мутировавший птичий грипп
09.03.2025 00:00:00 | ferra.ru

Врач: одна из причин синдрома запястного канала — нагрузка на запястья и руки
08.03.2025 23:15:00 | ferra.ru

Samsung начала тестировать One UI 8 на Galaxy S25 и двух складных смартфонах
08.03.2025 21:45:00 | ferra.ru

Apple выиграла патентный спор и добилась ввоза в США смарт-часов Apple Watch
08.03.2025 21:00:00 | ferra.ru

Разворачиваем микрофронты на Next.js
08.03.2025 20:23:20 | Хабр

Голландский производитель «экологичных смартфонов» дважды допустил утечку данных
08.03.2025 20:15:00 | ferra.ru

Взрыв Starship нарушил авиасообщение США: были изменены 240 рейсов
08.03.2025 19:30:00 | ferra.ru

Китайский автопроизводитель начнёт выпускать летающие автомобили в 2026 году
08.03.2025 18:45:00 | ferra.ru

iPhone 17 Air и складной iPhone получат одинаковый аккумулятор «высокой плотности»
08.03.2025 18:00:00 | ferra.ru

Осколки прошлого. Часть 1. 30 фактов из игровой индустрии за — 8 ноября 1980 года +
08.03.2025 17:47:45 | Хабр

Apple внезапно отложила все обновления Siri на неопределённый срок
08.03.2025 17:15:00 | ferra.ru

Типичные ошибки начинающих в SQL
08.03.2025 17:14:45 | Хабр

Блогер Александра Митрошина признала вину в отмывании денег
08.03.2025 17:13:13 | vc.ru

Смотреть все

НОВОСТИ

Глава МО Британии оценил удар "Орешника" подо Львовом, где он был в этот момент
12.01.2026 09:43:00 | Российская Газета

РИА Новости: На Украине начали развеивать миф об эффективности Буданова
12.01.2026 09:41:00 | Российская Газета

Politico: отношения с США будут экзистенциальным вызовом для Европы в 2026 году
12.01.2026 09:37:43 | ТАСС

В аэропортах Краснодарского края задерживаются 30 рейсов
12.01.2026 09:36:52 | ТАСС

В МИД высказались о разрушении Киевом переговорного процесса
12.01.2026 09:36:44 | Lenta.ru

Россиянам с метеоризмом после застолий посоветовали методы борьбы с ним
12.01.2026 09:36:38 | Lenta.ru

IBSF рассмотрит рекомендации МОК о возвращении юным россиянам флага и гимна
12.01.2026 09:35:57 | ТАСС

Две сильные солнечные вспышки произошли в ночь на 12 января
12.01.2026 09:35:27 | ТАСС

В Иране сообщили о снижении интенсивности протестов
12.01.2026 09:35:14 | ТАСС

АТОР: Вьетнам пока не сможет сравняться с Таиландом по популярности у россиян
12.01.2026 09:34:53 | ТАСС

WSJ: в США считают, что вмешательство в ситуацию в Иране приведет к новой войне
12.01.2026 09:34:39 | ТАСС

В Бурятии пресекли работу криптофермы, причинившей ущерб в 3 млн рублей
12.01.2026 09:33:32 | ТАСС

Развожаев: ВСУ дважды атаковали Севастополь
12.01.2026 09:31:20 | ТАСС

В Черниговской области обесточена часть населенных пунктов
12.01.2026 09:31:02 | ТАСС

Трамп назвал себя спасителем НАТО
12.01.2026 09:31:00 | Российская Газета

Один металл резко подорожал на фоне событий в Венесуэле
12.01.2026 09:30:54 | Lenta.ru

Сторона обвинения в Армении требует ареста Карапетяна
12.01.2026 09:30:13 | ТАСС

Глава АТОР: россияне в 2025 году стали чувствительны к стоимости отдыха
12.01.2026 09:30:00 | ТАСС

На Москву обрушился новый снежный циклон
12.01.2026 09:29:31 | РЕН ТВ

Российская прокуратура создана 304 года назад указом Петра I
12.01.2026 09:28:52 | РЕН ТВ

Володин поздравил работников прокуратуры с профессиональным праздником
12.01.2026 09:28:27 | ТАСС

Соболенко прокомментировала отказ украинки от рукопожатия
12.01.2026 09:26:33 | Lenta.ru

Трамп: оборона Гренландии состоит "из двух собачьих упряжек"
12.01.2026 09:26:29 | ТАСС

Атака США на Венесуэлу и планы на Гренландию. События новогодних каникул
12.01.2026 09:25:52 | ТАСС

Мастер-самоучка из Петербурга вырезает из снега скульптуры в форме храмов
12.01.2026 09:25:52 | РЕН ТВ

Общие сборы фильма "Буратино" превысили два миллиарда рублей
12.01.2026 09:25:24 | РЕН ТВ

ТАСС: Пехотинцы и штурмовики ВСУ возводят укрепления в Сумской области
12.01.2026 09:25:00 | Российская Газета

Протестующие требуют от властей США остановить массовые депортации
12.01.2026 09:24:49 | РЕН ТВ

Трамп пригрозил Ирану невиданными ударами в случае атаки на американские базы
12.01.2026 09:24:36 | ТАСС

Сотрудники МЧС спасли девять человек при пожаре в столичной квартире
12.01.2026 09:24:14 | РЕН ТВ

Трамп высмеял обороноспособность Гренландии
12.01.2026 09:23:00 | Lenta.ru

В Лос-Анджелесе грузовик въехал в протестующих в поддержку Ирана
12.01.2026 09:21:51 | ТАСС

Доминиканский футболист отказался возвращаться в тульский "Арсенал"
12.01.2026 09:21:00 | ТАСС

Названы победители премии «Золотой глобус» в основных номинациях
12.01.2026 09:19:55 | Life.ru

На севере Красноярского края прогнозируют морозы до 45 градусов
12.01.2026 09:19:53 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro