Lab: 2FA simple bypass
Mô tả
Xác thực hai yếu tố của lab này có thể bị bỏ qua. Bạn đã có được tên người dùng và mật khẩu hợp lệ, nhưng không có quyền truy cập vào mã xác minh 2FA (2FA token) của người dùng.
Thông tin đăng nhập của bạn:
wiener:peter
Thông tin đăng nhập của nạn nhân
carlos:montoya
Mục tiêu: Truy vập vào tài khoản của Carlos
Phân tích
Đăng nhập bằng tài khoản cá nhân wiener:peter

Lấy securtity code từ Email client và vào My account thành công

Chú ý vào URL, lợi dụng điều này để pypadth
https://0a72006904efdacd827f156a0083004e.web-security-academy.net/my-account?id=wiener
Giải pháp
Đăng nhập bằng tài khoản nạn nhân
Chỉnh sửa phần id trong URL thành carlos

Last updated