#翻译文章# 原文:
https://medium.com/@vishnu0002/instagram-multi-factor-authentication-bypass-924d963325a1
你好 ,
这篇文章是关于我在Facebook中的发现之一,该发现可能使任何人都可以绕过多因素身份验证。
漏洞类型:
权限提升/绕过授权
资产:
Instagram
描述
两因素身份验证是一种安全机制,它需要两种类型的凭据进行身份验证,并旨在提供附加的验证层,从而最大程度地减少安全漏洞。
影响
可以使用facebook业务中的add instagram帐户功能绕过两因素身份验证。在将受害者帐户与攻击者Facebook帐户合并时,受害者帐户的2FA被自动绕过,攻击者无需启用2FA流程即可使用启用2fa的受害者帐户。
概念
1 )用户“ A”创建一个企业帐户并添加启用了受双重因素身份验证的受害者帐户。
2)添加受害者用户名和密码(启用2FA的帐户)
3)在这里,您可以看到Business Manager尝试链接Instagram帐户时跳过了2FA检查
我要感谢Facebook安全团队的出色响应。
译者按:
双因素认证不可否是是一项突破难度很大的认证技术。但是很多公司的配置是有问题的。比如译者曾经遇到,直接返回master key的,也有通过js来判断是否重新绑定认证器的,很有像这种不同的组件或服务对于认证处理的不一致造成的漏洞。以后大家遇到双因素认证都可以试试绕过。
本文迁移自知识星球“火线Zone”
