重复一个动作绕过TIKTOK Android 应用程序的双因素身份认证并获得赏金!
2023-12-28 14:57:34 Author: Ots安全(查看原文) 阅读量:13 收藏

平时也会挖挖SRC,但是有时候思路不足或者一个绕过方法思路都会翻翻hackerone一些披露报告,学习学习大佬们的一些操作,但是今天看到一些,TIKTOK Android 应用程序的身份认证绕过,果然在hackerone国内不认的,国外都给你认,当然可能也是看什么洞!看什么平台审核!

回到主题TIKTOK官方对该漏洞的总结:发现了一个漏洞,如果快速连续输入多次错误尝试,两步验证端点上的随机超时问题可能会导致潜在的身份验证绕过。研究发现,此漏洞需要访问与帐户关联的用户电子邮件/密码或电话号码/代码,并且需要多次暴力尝试才能绕过。

下面是漏洞绕过的一个视频过程:

我尝试思考这个漏洞的问题是不是以下原因导致或者是其它问题?

在这个漏洞的描述中提到需要进行多次暴力尝试才能成功,主要原因是系统为了应对恶意攻击者的尝试,采用了一种反制措施,即在连续错误的尝试之后引入了随机超时机制?

一般而言,系统会实施登录失败的计数机制,并在达到一定次数后对账户进行锁定或者引入延时。这样设计的目的是为了防止暴力攻击,其中恶意用户尝试通过大量的用户名和密码组合进行登录,试图猜测正确的凭证。通过引入延时,系统可以限制攻击者尝试的速度,从而降低猜测正确凭证的成功概率。

在这个漏洞描述中,攻击者可能利用了两步验证端点上的随机超时问题,通过快速连续输入多次错误尝试,可能导致在某些尝试中随机超时的绕过。这可能是因为系统在实施随机超时时存在某种漏洞,使得攻击者能够通过特定的操作模式或时间,规避了系统的反制措施。

这里留个报告地址:

https://hackerone.com/reports/1747978

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247503495&idx=1&sn=f9265229f956135c416877afb6c37c57&chksm=9ae209142306a09a3278307891d6ba291d5afb077cbb84104bf0531dbb5c11ae693d2ac3cc8c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh