[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS

Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории. Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных. Методология Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы , чтобы создать новый аккаунт и завершить процесс регистрации. Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период. После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу . Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.

https://habr.com/ru/articles/896684/

#bugbounty #bughunting #багхантинг #2faаутентификация #cors #взлом_аккаунта

Надоело постоянно пользоваться телефоном, поэтому написал замену Google Authenticator в виде TUI

Мне надоело постоянно использовать Google Authenticator и переключаться между ПК и телефоном для подтверждения двухфакторной (мультифакторной) аутентификации. Красивых и функциональных TOTP (Time-based one-time password) хранилок в терминале я не нашел, поэтому сделал эту TUI, которая позволит хранить, управлять, просматривать, копировать 2FA ключ в пару нажатий с поддержкой VIM управления. Ну и просто мне было интересно, какого это создавать свои TUI приложения.

https://habr.com/ru/articles/871520/

#go2fa #github #opensource #security #totp #2fa #2faаутентификация #tui

Как сделать регистрацию и аутентификацию на сайтах под CMS ModX с помощью Exolve

Из-за участившихся случаев утечек информации с сайтов крупных организаций, наша компания озаботилась защитой и безопасностью сайта и клиентских данных. Первой линией защиты стало внедрение на сайте SMS-подтверждения регистрации и аутентификации. В этой статье речь пойдет о ресурсе, основанном на CMS ModX. Обеспечивать же безопасность данных пользователей и самого ресурса поможет API-платформа

https://habr.com/ru/companies/exolve/articles/859600/

#modx #sms_api #2faаутентификация #подтверждение_телефона #аутентификация_пользователей #php

Сквозное шифрование и двухфакторная аутентификация в современном интернете

Сегодня практически каждый пользователь интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой статье. Каноничный пример использования E2EE и 2FA можно найти в мессенджерах, где предусмотрено сквозное шифрование для защиты сообщений. Более того, популярные мессенджеры заявляют, что используют как сквозное шифрование, так и двухфакторную аутентификацию для защиты учетных записей. Когда вы входите в мессенджер с нового устройства, нужно ввести пароль и код из СМС — это пример двухфакторной аутентификации (2FA). Однако даже после успешного входа все сообщения, файлы и звонки остаются зашифрованными благодаря сквозному шифрованию (E2EE). Никто, кроме вас и вашего собеседника не сможет прочитать переписку. Чтобы получить доступ к ней киберпреступники используют различные методы и сценарии атак: их может интересовать не только ваша персональная информация, но и любые другие незашифрованные данные. Прочитать про основы

https://habr.com/ru/articles/857106/

#e2ee #2fa #2faаутентификация #аутентификация #автори #шифрование

Как настроить регистрацию и аутентификацию на Drupal с помощью SMS API

Подтверждение регистрации и аутентификация через SMS API — эффективный инструмент на множестве сайтов. Такая функция помогает уменьшить количество спам-аккаунтов, улучшить взаимодействие с пользователями и предоставить ценные данные для целевых кампаний. Разберёмся, как реализовать такое подтверждение через

https://habr.com/ru/companies/exolve/articles/846438/

#yaml #sms_api #аутентификация_пользователей #подтверждение_телефона #регистрация #php #smsсервис #2faаутентификация #drupal

Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP

Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth , openvpn-plugin-auth-pam , openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора. Поскольку и OpenVPN, и FreeRADIUS позволяют подключать плагины мы можем, написав собственный плагин, реализовать такую схему, которая позволит нам: • использовать для аутентификации пользователей логин и пароль из LDAP‑каталога. • удобно вводить логин, пароль, OTP в отдельные независимые поля интерфейса, а не после пароля или вместо пароля. • реализовать различные комбинации использования логина, пароля, OTP в зависимости от задач. • обеспечить отказоустойчивость, возможность использования нескольких серверов аутентификации. • использовать LDAP‑каталог для централизованного управления пользователями. • хранить seed‑значения для генератора OTP независимо от того, какой LDAP‑каталог используется (ActiveDirectory, FreeIPA, lldap или другие). • передать функцию создания, обновления seed‑значений для генератора OTP техподдержке без необходимости подключаться к серверам OpenVPN. • использовать на смартфонах любое приложение для генерации OTP (Яндекс.Ключ, FreeOTP Authenticator и др.). • не зависеть от работоспособности облачных провайдеров 2FA. Система рассчитана на следующие сценарии использования: • доступ пользователей через OpenVPN в инфраструктуру компании. • резервный самодостаточный безопасный удаленный доступ в инфраструктуру для администраторов на случай аварий или сбоев. В обоих сценариях: • не предполагается использование персональных сертификатов для каждого пользователя. Однако, это не исключает использования сертификатов в качестве дополнительной меры защиты. • для аутентификации используется логин, пароль и OTP.

https://habr.com/ru/articles/834160/

#openvpn #2fa #mfa #freeradius #ldap #2faаутентификация #freeipa #activedirectory

[Перевод] Настройка аутентификации с одноразовым паролем в OpenAM

Аутентификация с паролем является, пожалуй, самым распространенным методом аутентификации. Но она не является достаточной надежной. Часто пользователи используют простые пароли или используют один и тот же пароль для разных сервисов. Таким образом пароль пользователя может быть скомпрометирован. Для увеличения безопасности в процесс аутентификации добавляют второй фактор. (Two Factor Authentication, 2FA). Второй фактор в аутентификации это дополнительный уровень защиты учетной записи. Помимо логина и пароля для аутентификации нужно ввести код из SMS, ввести биометрические данные, использовать аппаратный токен и так далее. Таким образом, даже если пароль учетной записи будет скомпрометирован, злоумышленник не сможет получит доступ к учетной записи, т.к. при аутентификации требуется пройти еще один уровень защиты. В данной статье мы настроим аутентификацию в OpenAM с использованием одноразовых кодов, сгенерированных от времени - Time-based One-Time Password Algorithm (TOTP, RFC 6238 ).

https://habr.com/ru/articles/825306/

#2fa #2faаутентификация #openam #authentication #totp

Усиленные пароли или 2FA

Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый вариант подробнее, что бы понять, какой из них выбрать.

https://habr.com/ru/articles/818987/

#2fa #2faаутентификация #пароль #парольная_политика

Внедряем двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально

Еще в пандемийные годы стало понятно, что жить без двухфакторки на удаленке, как минимум, рискованно. И хоть большинство приложений и обеспечивают 2FA, все-таки существуют сервисы, для которых защищенный доступ из коробки недоступен. Я Саша Зеленов, архитектор Читать дальше

https://habr.com/ru/companies/cloud_ru/articles/778632/

#2faаутентификация #2fa #oauth2 #oauth2client #кейс #безопасность #безопасность_вебприложений #двухфакторная_аутентификация

Хранение паролей: работа над ошибками

В предыдущей статье , я описал свой сетап хранения авторотационных данных (паролей). Многие эксперты изучили её и дали свои комментарии, - о том, где могут быть проблемы, о том, что можно упростить, и о том, что можно делать по другому. Но начнём мы с небольшого объяснения, почему система такая сложная. Вспомним суть: 1) Для логина на "не значимые" сайты (например в аккаунт очередного AI-продукта) мы используем уникальный пароль, который храним в программе хранения паролей (парольном менеджере) 2) Для логина на "более важные ресурсы" (например в аккаунт на github), мы используем уникальный пароль, который храним в парольном менеджере, плюс одноразовый пароль (TOTP - Time-based One-Time Password) который нам покажет специальное приложение на телефоне. Вот и всё. Это вся суть повседневного использования всей системы. Но почему она тогда казалась такой сложной? Вероятно из-за дополнительных слоёв защиты от самого себя или любых непредвиденных факторов.

https://habr.com/ru/articles/791914/

#хранение_паролей #2faаутентификация #шифрование_данных #бэкапирование #парольные_менеджеры #аутентификация