-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Ominął 2FA po prostu podając pusty kod (!). [glassdoor.com]

25 lipca 2020, 21:06 | W biegu | komentarze 4

W zasadzie to jak w temacie, kropka ;-) Oryginalny opis błędu wygląda tak:

This is a failure in null check of the entered code. In simple terms, the 2FA while logging in can be bypassed by sending a blank code. This could be because of incorrect comparison of entered code with true code. A pre-validation (may be null check) before comparing the codes would fix the issue

A po polsku: cóż, czasem wydaje się że obejście 2FA wymaga jakiś skomplikowanych sztuczek. Jak widać – nie do końca :) W tym przypadku badacz poproszony przez aplikację o kod 2FA podał „losowy”, przechwycił żądanie w Burpie, a następnie usunął wartość. Efekt? Użytkownik został zalogowany :-)

Zresztą z różnymi „pustymi” polami względnie często występuje jakiś problem (patrz np. historia tablic rejestracyjnych NULL).

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jakub

    2FA to pic na wodę. Wprawny hacker ominie bez problemu. Mi zhackowany konto blizzarda i eBay. Na obu było 2FA…

    Odpowiedz
    • asdsad

      Czym był drugi składnik?
      Bo jakieś to dziwne, że ominęli. Może zwyczajnie miałeś nieproszonego gościa na własnym kompie – ktoś skorzystał z zalogowanej sesji.
      Także jeszcze raz: czym był drugi składnik?

      Odpowiedz
    • Phemistrily

      Jeżeli 2FA Ci się nie podoba to nie korzystaj :). Mnie osobiście 2FA nie raz uratowało :). Z zabezpieczeniami jest jak z backupem. Są 3 rodzaje ludzi:
      1. Ci co się zabezpieczają
      2. Ci co myślą, że się zabezpieczają
      3. Ci co mają to gdzieś.
      Im wyżej jesteś tym masz mniejsze szanse na przykrości w przyszłości. To jak z zakładaniem kasku. Nie sprawi, że będziesz nieśmiertelny, ale używany z rozsądkiem pomoże. Zastanów się, czy nie byłeś w tej 2 grupie

      Odpowiedz
  2. Tówj ncik

    It’s not a bug, it’s a bugdoor.

    Odpowiedz

Odpowiedz na asdsad