Saludos a todos, este es Shawar Khan. Y hoy voy a revelar una de mis investigaciones de PayPal. Recientemente he encontrado un 2-factor de autenticación (2FA) Bypass en el dominio principal de PayPal que permite a cualquier atacante para pasar por alto el mecanismo de verificación. Alrededor de 4 errores se informó que incluye Inyección de HTML, Inyección de contenido y algunos otros, pero voy a revelar el bypass 2FA como esto ayudará a los principiantes en su carrera para encontrar defectos similares en sitios web bien conocidos.
2-Factor Authentication:
PayPal 2-Factor Autenticación Bypass por Shawar Khan
La autenticación de dos factores, también conocida como 2FA, verificación en dos pasos o TFA (como un acrónimo), es una capa adicional de seguridad que se conoce como "autenticación multi factor" que requiere no sólo una contraseña y un nombre de usuario, sino también algo que sólo y Sólo, que el usuario tiene en ellos, es decir, una pieza de información sólo deben saber o tener inmediatamente a mano - como un token físico.
El uso de un nombre de usuario y una contraseña, junto con una información que sólo el usuario sabe, hace que sea más difícil para los intrusos potenciales acceder y robar los datos personales o la identidad de esa persona.
En otras palabras, cuando un usuario introduce su nombre de usuario y contraseña en un área de inicio de sesión que tiene 2FA desplegado, el usuario recibirá un código o ficha en su número de teléfono o correo electrónico que debe ingresar en su cuenta. Una vez que este código se ingresa en la página, le permitirá tener acceso a la cuenta. Este mecanismo se utiliza para proteger a medida que despliega una capa adicional de seguridad, incluso si el atacante llegó a conocer el nombre de usuario y la contraseña, no podrá acceder a la cuenta.
La autenticación de dos factores, también conocida como 2FA, verificación en dos pasos o TFA (como un acrónimo), es una capa adicional de seguridad que se conoce como "autenticación multi factor" que requiere no sólo una contraseña y un nombre de usuario, sino también algo que sólo y Sólo, que el usuario tiene en ellos, es decir, una pieza de información sólo deben saber o tener inmediatamente a mano - como un token físico.
El uso de un nombre de usuario y una contraseña, junto con una información que sólo el usuario sabe, hace que sea más difícil para los intrusos potenciales acceder y robar los datos personales o la identidad de esa persona.
En otras palabras, cuando un usuario introduce su nombre de usuario y contraseña en un área de inicio de sesión que tiene 2FA desplegado, el usuario recibirá un código o ficha en su número de teléfono o correo electrónico que debe ingresar en su cuenta. Una vez que este código se ingresa en la página, le permitirá tener acceso a la cuenta. Este mecanismo se utiliza para proteger a medida que despliega una capa adicional de seguridad, incluso si el atacante llegó a conocer el nombre de usuario y la contraseña, no podrá acceder a la cuenta.
PayPal 2-FA:
Así es como funciona la autenticación de 2 Factores de PayPal, cuando un usuario con 2-FA desplegado inicia sesión en su cuenta. Hay 2 maneras de verificar un usuario:
Verificar mediante la aplicación para móviles de PayPal
Verificar por número de teléfono
Verificación a través de la aplicación para móviles de PayPal
Cuando se utiliza la opción de verificación con la aplicación móvil de PayPal, se envía una solicitud de inicio de sesión a la aplicación de PayPal, donde el usuario ya está autenticado. El usuario tiene que confirmar el inicio de sesión para permitir el acceso a la cuenta.
Verificación a través del número de teléfono
Cuando se utiliza esta opción, PayPal envía un código por SMS o por Llamada al número asociado a esa cuenta. Una vez que se recibe el código, el usuario tiene que introducir ese código en la página web para obtener acceso a la cuenta.
Así es como funciona la autenticación de 2 Factores de PayPal, cuando un usuario con 2-FA desplegado inicia sesión en su cuenta. Hay 2 maneras de verificar un usuario:
Verificar mediante la aplicación para móviles de PayPal
Verificar por número de teléfono
Verificación a través de la aplicación para móviles de PayPal
Cuando se utiliza la opción de verificación con la aplicación móvil de PayPal, se envía una solicitud de inicio de sesión a la aplicación de PayPal, donde el usuario ya está autenticado. El usuario tiene que confirmar el inicio de sesión para permitir el acceso a la cuenta.
Verificación a través del número de teléfono
Cuando se utiliza esta opción, PayPal envía un código por SMS o por Llamada al número asociado a esa cuenta. Una vez que se recibe el código, el usuario tiene que introducir ese código en la página web para obtener acceso a la cuenta.
No hay comentarios:
Publicar un comentario