Pour vérifier la vulnérabilité d’un service pour une faille 2FA, il y a plusieurs techniques
1. Manipulation de la réponse du serveur : dans la réponse, if “success”:false , changer en “success”:true
2. Manipuler le code de status : si le code de statut est 4XX, essayer un code 200 OK et regarder si cela permet de réussit
3. Fuite de code 2FA: vérifier si le code 2FA est dans la réponse du serveur
4. Analyse des fichiers JS : Il peut arriver que les fichiers javascript contiennent de l’information sur le code 2FA (plutôt rare)
5. Réutilisation d’un code 2FA: Parfois le code peut être réutilisé
6. pas de protection contre la force brute : Possible de forcer un code 2FA d’une longueur quelconque
7. pas de vérification de l’intégrité d’un code 2FA : Le code 2FA d’un usager peut être utilisé comme code 2FA d’une victime
8. CSRF sur la désactivation de la sécurité 2FA: pas de protection CSRF lors de la désactivation 2FA. Aussi pas de confirmation auth
9. Changement de mot de passe désactive le 2FA : 2FA est désactivié lors d’un changement de courriel ou mot de passe
10. Outrepasser 2FA avec la valeur null ou 000000 : entrer le code 000000 ou null pour déjouer la protection 2FA
