[Перевод] $2200 ATO, который большинство охотников за багами упустили, слишком рано отказавшись от цели

Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, почему всегда стоит доводить дело до конца.

Цель: Простой вход с использованием OTP

Цель, которую я тестировал — назовем её redacted.com, — была хорошо проработана и прошла множество проверок. Вот как работало приложение:

Пользователи входили в систему, используя адрес электронной почты.
На их почту отправлялся одноразовый 6-значный код (OTP).
Этот код вводился для доступа к аккаунту — никаких паролей.

Механизм был достаточно простым, что делало его идеальным для тестирования уязвимостей OTP, связанных с перебором.

Читать далее

Читайте на 123ru.net