2FA

ソース： medium.com 脆弱性：OTP, 2FA 訳： CAPTCHA や 2FA ページなどの認証パラメーターをバイパスするための応答操作テクニックを勉強していたとき、実際のサイトで練習するのが好きなので、練習していたサイトが(mysite[.]com としましょう) で、ほとんどの認証ページ入力に対する JSON 応答を受信して。 そのため、2FA を見たとき、サイトでは 2FA ページにレート制限や最大試行回数が設定されていなかったため、最初に総当たり攻撃を試してみようと思いましたが、サイトがリクエストを暗号化して送信していることがわかり。 そこで、OTP の再利用 (被害者のロ…

ソース： medium.com 脆弱性：2FA 訳： 2020 年の初日でした。Web サイトで 2FA を回避する方法を見つけ。 GHDB でバグ報奨金プログラムをランダムに検索していました。 そして、ユーザーがGoogle認証アプリで2FAを有効にできるドメインを見つけ。 まずはログインページから試してみました。 あらゆる方法を試しましたが、成功しませんで。 次に、パスワードを忘れた場合のページを見てみようと思い、電子メール ID を入力し、[パスワードを忘れた場合] をクリックし。 数秒後、次のようなメールが届きました: https://app.domain .io/reset/645h…

ソース： medium.com 脆弱性：2FA, OTP 訳： まとめ この Web アプリを使用すると、ユーザーは電話番号を使用してアカウントを作成し、OTP を入力して登録プロセスを完了できます。 このバグは、応答を操作することによって登録ページで OTP をバイパスすることに関するものです。 再現手順 (PoC): アカウントを作成します https://example[.]com/register 必要事項をすべて記入し、電話番号を入力してフォームを送信して 登録に使用した電話番号に 5 桁の OTP が届き。 ランダムな 5 桁を入力 (例: 00000) burp suite プロ…

前回の記事でシリーズみたく 書くよって言ったのに書かなくてごめんなさい。 タイトルですが、YUBIKEYを導入してみました。 今回導入したのはこちら 実際の画像です。 導入した経緯 答えは単純で、ワンタイムパスワードが増えすぎて訳が分からなくなるときがあった ただこれだけです。 やってみよう ということでやってみました。 AWSマネジメントコンソールにログインします。 ※今回はルートユーザにYUBIKEYに導入したかったので、ルートユーザでログインしてますが通常は権限を絞ったIAM等を利用してください。 また、IAMの場合は、導入箇所が異なる場合がありますので確認してください。 画面右上のユー…

概要 iOSが14.2にアップデートされたとき、Google Authenticatorが起動できないという不具合が2020年11月13日ぐらいから発生しておりました。 なお、「Google Authenticator 起動しない 14.2」とかで検索すると対処方法が多数あります。 そんな経緯があって、Google Authenticatorから他の認証アプリに乗り換えている人も居ますが、そもそもGoogle Authenticatorは、デバイス変更に対応していないので、他の認証アプリを使用している人も多いのが現実です。 そんな、iPhone版Google Authenticatorが3.1…

どうも、けっぴーです。 今回はフォートナイトの二段階認のやり方について解説します。 二段階認証のやり方がわからない、二段階認証が難しい、などと思っている方の参考になれば幸いです。 二段階認証をすることによって何が起こるのか？ 二段階認証のやり方 二段階認証をすることによって何が起こるのか？ ・二段階認証を行うと、アカウントを保護することができ、不正ログインや個人情報の漏洩を防ぐことが出来ます。 ・ゲーム内通貨を使用して、フレンドに有料のビジュアルアイテムをプレゼントすることが出来る「ギフト」というシステムを使用することが出来るようになります。(受け取る側は二段階認証をしていなくても受け取れます…