🧨 OTP绕过:当后端信任前端时…你就输了
你知道只需操纵API响应就能跳过整个OTP验证流程吗?
是的,不需要代码。不需要暴力破解。只需编辑两个布尔值。
这正是example.com发生的情况。
🐞 漏洞:通过API响应操纵实现OTP验证绕过
在注册流程中,平台发送的响应如下:
{"accountSetupFinished": false,"accountVerificationNeeded": true
}
使用Burp Suite和Match and Replace功能,只需将:
"accountSetupFinished": false→ true"accountVerificationNeeded": true→ false
刷新页面…就完成了。
:right_arrow: 无需验证OTP代码即可获得完全访问权限。
🧪 我是如何利用的
- 创建账户并使用Burp捕获流量
- 识别API返回验证状态布尔标志的端点
- 启用实时自动替换功能
- 模拟已通过验证的状态
- 无需输入真实OTP即可访问系统
🔥 为什么这个漏洞很关键?
因为安全性不能依赖于客户端控制的数据。如果你的后端盲目相信前端传递的信息,攻击者就可以随意操纵系统。
💥 实际影响:
- 未验证账户获得完全访问权限
- 垃圾邮件、欺诈、大规模虚假账户创建
- 如果敏感功能没有额外验证,可能造成权限提升
:check_mark_button: 系统应该怎么做?
- 在后端验证用户是否真正完成了OTP步骤
- 完全忽略从客户端发送的任何标志
- 以服务器为中心记录和验证注册流程的每个阶段
:bullseye: 最终教训
如果你的系统因为浏览器说"verified"为true就接受验证,那么你拥有的不是一个认证系统:你拥有的是一个等待被利用的脆弱幻想。
Otp绕过 | 黑客技术 | 漏洞赏金 | 安全漏洞 | 漏洞赏金技巧
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
