Come posso pentest con successo il sito con l'autenticazione a due fattori? [chiuso]

-6

Desidero utilizzare uno strumento commerciale automatizzato ma non riesco ad accedere correttamente perché il sito Web richiede un processo di autenticazione a due fattori tramite SMS. Per il test, il messaggio SMS viene inviato a un altro sito Web, anche se in situazioni normali l'SMS viene inviato a un telefono cellulare.

Ho fatto clic su molti pulsanti nel sito di destinazione. Successivamente, ho scansionato il sito usando Burp Suite Pro. Tuttavia, la maggior parte dei risultati che ottengo sono falsi positivi perché il sito dà risposte diverse. Ad esempio, la prima risposta è un errore di input e la seconda risposta è un errore di timeout. Per questo motivo, lo strumento esamina le risposte e riporta risultati falsi positivi.

Come posso pentest con successo il sito con l'autenticazione a due fattori?

    
posta dgn 17.12.2013 - 16:53
fonte

1 risposta

2

Sembra che tu stia chiedendo come ottenere uno strumento automatico per accedere a un sito che offre l'autenticazione a due fattori. Con le informazioni limitate che hai fornito, ci sono quattro approcci che ti vengono in mente.

  1. utilizza la funzione di spidering manuale dello strumento . Molti strumenti automatici offrono la possibilità di guidare manualmente lo strumento, quindi passare a spidering / test automatici. Questo approccio funziona bene se lo strumento lo offre e se non ti dispiace maneggiare manualmente il secondo fattore di autenticazione.
  2. scrivi un plug-in per lo strumento per accedere . Se lo strumento consente di scrivere plug-in e se è possibile automatizzare il secondo fattore (come la riproduzione di una scansione delle impronte digitali o l'uso di uno scanner ottico per un token hardware, ecc.), È possibile aggiungere funzionalità allo strumento per gestire questo particolare modulo di due fattori authn.
  3. scrivi un proxy per gestire l'autenticazione . Se non riesci a scrivere un plug-in, scrivi un server proxy e configura lo scanner originale per utilizzare il tuo proxy o solo arp spoof per ridurre il traffico. Usa il tuo server proxy per dirottare completamente la sessione, eseguire l'autenticazione e quindi riportare la sessione allo strumento originale.
  4. disabilita l'authn a due fattori per il tuo account / sistema . Disabilitare semplicemente l'authn a due fattori renderà più facile l'accesso allo strumento. Ovviamente, ciò richiede che il prodotto sia in fase di test può essere configurato in tal modo, e dovrai eseguire una scansione due volte - una volta per coprire le schermate dell'authn e una volta per coprire il resto del prodotto.

Per ricevere la risposta sms, dovrai registrare il tuo telefono e scrivere un codice per ricevere gli sms e inoltrarlo al tuo addln / proxy; o dovrai fornire un URL a cui inviare l'SMS che punta direttamente al tuo addon / proxy o che puoi associare al tuo addin / proxy, sempre con codice personalizzato.

Per gestire i falsi positivi, devi rivedere i risultati e ritagliarli da solo. Un gran numero di falsi positivi è una delle sfide del lavoro con strumenti di scansione automatici.

    
risposta data 17.12.2013 - 17:22
fonte