Lab: 2FA simple bypass (8) | Apprentice

Authentication vulnerabilities

Executive Summary:
Mendemonstrasikan cara melewati verifikasi dua faktor (2FA) dalam implementasi autentikasi pada sebuah aplikasi web. Dengan asumsi bahwa kita telah memperoleh username dan password yang valid melalui serangan password dump, kita ingin mengeksplorasi dan menemukan kerentanan dalam aplikasi yang memungkinkan untuk mengakses akun Carlos tanpa perlu memasukkan kode verifikasi 2FA yang seharusnya diperlukan.

Key Findings:

Full Pen Test Results:
Tekan “ACCESS THE LAB”, kemudian akan terpindah ke tab yang baru.

Saat menekan “ACCESS THE LAB”, kita akan diarahkan ke halaman beranda yang telah disediakan oleh PortSwigger. Lihat ke bagian kanan atas, tekan “My account”.

Masukkan username dan password yang telah diberikan yaitu:
Username: wiener
Password: peter
Lalu tekan “Log in”.

Jika telah memasukkan username dan password, maka tampilan berikutnya seperti berikut. Kemudian, pilih “Email client”, yang akan mengarahkan ke halaman berikutnya.

Di halaman ini, kita diberi kode untuk untuk kode keamanan di halaman sebelumnya.
4 Digit kode: 1288

Masukkan kode, lalu tekan “Login”.

Berikut adalah tampilan ketika sudah login.

Pada URL, copy bagian “my-account”, kemudian tekan “Log out”.

Selanjutnya, masukkan username dan password yang lain, yaitu:
Username: carlos
Password: montoya
Lalu tekan “Log in”.

Pada bagian ini, ganti “login2” pada URL menjadi “my-account”.

Apabila sudah diganti, reload dan Lab berhasil diselesaikan.

Kesimpulan:
Menunjukkan bahwa meskipun 2FA diimplementasikan, aplikasi tidak memaksa verifikasi tersebut, sehingga memungkinkan bypass 2FA.

Oleh: Dinnuhoni Trahutomo
(2209116006)

Terima Kasih!