Lab: 2FA simple bypass

Mô tả

Xác thực hai yếu tố của lab này có thể bị bỏ qua. Bạn đã có được tên người dùng và mật khẩu hợp lệ, nhưng không có quyền truy cập vào mã xác minh 2FA (2FA token) của người dùng.

Thông tin đăng nhập của bạn:wiener:peter
Thông tin đăng nhập của nạn nhâncarlos:montoya

Mục tiêu: Truy vập vào tài khoản của Carlos

Phân tích

Đăng nhập bằng tài khoản cá nhân wiener:peter

Lấy securtity code từ Email client và vào My account thành công

Chú ý vào URL, lợi dụng điều này để pypadth

https://0a72006904efdacd827f156a0083004e.web-security-academy.net/my-account?id=wiener

Giải pháp

Đăng nhập bằng tài khoản nạn nhân

Chỉnh sửa phần id trong URL thành carlos

PreviousLỗ hổng trong xác thực đa nhân tố NextLab: 2FA broken logic

Last updated 10 months ago