Outrepasser la protection 2FA

Pour vérifier la vulnérabilité d’un service pour une faille 2FA, il y a plusieurs techniques

1. Manipulation de la réponse du serveur : dans la réponse, if “success”:false , changer en “success”:true

2. Manipuler le code de status : si le code de statut est 4XX, essayer un code 200 OK et regarder si cela permet de réussit

3. Fuite de code 2FA: vérifier si le code 2FA est dans la réponse du serveur

4. Analyse des fichiers JS : Il peut arriver que les fichiers javascript contiennent de l’information sur le code 2FA (plutôt rare)

5. Réutilisation d’un code 2FA: Parfois le code peut être réutilisé

6. pas de protection contre la force brute : Possible de forcer un code 2FA d’une longueur quelconque

7. pas de vérification de l’intégrité d’un code 2FA : Le code 2FA d’un usager peut être utilisé comme code 2FA d’une victime

8. CSRF sur la désactivation de la sécurité 2FA: pas de protection CSRF lors de la désactivation 2FA. Aussi pas de confirmation auth

9. Changement de mot de passe désactive le 2FA : 2FA est désactivié lors d’un changement de courriel ou mot de passe

10. Outrepasser 2FA avec la valeur null ou 000000 : entrer le code 000000 ou null pour déjouer la protection 2FA

Laisser un commentaire