Как обойти двух факторную аутенфикацию Authy с ../sms

[Temmokan]

Вы уже сообщили Authy.com об этом прискорбном явлении?

Спасибо.

[naum]

Егор — чистейший whitehat, к тому же, проблема описана в прошедшем времени.

[Homakov]

Все исправили еще 8 февраля. Просто ждал пока их успешно поглотит twilio. Моя шляпа чище колумбийского кокаина.

[TimsTims]

Отличная работа!

[p1at0n]

Т.е. после первого вызова (/json/sms) мы уже получаем токен сессии и второй вызов нам нужен только для его подтверждения? Мне казалось, что токен сессии должен быть выдан только после совпадения кода из смс (в ответе на /json/verify).

[Homakov]

Какой сессии? Первый вызов говорит «пошли этому юзеру токен на телефон» второй его проверяет.

[PavelMSTU]

Как я понимаю, подход тот же, что и в SQL инъекции.
Спасибо за пост!

[Isis]

Что-то я не могу найти сходств.

[PavelMSTU]

Да… п.5 вносит отличия.
Я не прав.

Имел в виду, что отсутствие экранирования — это bad. И в SQL инъекции и в данном методе вся проблема в отсутствии экранирования, если я правильно понимаю…

[TimsTims]

На самом деле довольно много чего ломается с помощью путешествия по файлам через ../

[Homakov]

Вообще то да, я называю это format injection — когда есть формат с определенными правилами/делимитерами и он ломается через вставку. Только SQL это другой класс injection я бы выделил. xss-да