通过使用受害者的设备ID绕过双因素身份验证

文章预览

扫码领资料 获网安教程 来 Track安全社区投稿~   千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 绕过双因素身份验证 一个网站的 URL，如下所示： https://redacted.com/login 其界面如下： 现在，由于它是一个灰盒渗透测试，我获得了该网站的凭证。 在这里，输入凭证后，我拦截了请求，它看起来如下所示： POST /api/authentication/login-2fa HTTP/1.1 Host: redacted.com Content-Length: 100 Sec-Ch-Ua: "Not)A;Brand";v="99", "Brave";v="127", "Chromium";v="127" Sec-Ch-Ua-Mobile: ?0 Authorization: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Content-Type: application/json Accept: application/json, text/plain, */* Utcoffset: -420 Sec-Ch-Ua-Platform: "Windows" Sec-Gpc: 1 Origin: https://redacted.com Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://redacted.com/login Accept-Encoding: gzip, ………………………………