AmazonのやつはMFAを回避できる経路がどっかにあるんだと思うがな〜
SMS認証はSIMスワップや盗聴による攻撃方法が実証されてるけど、TOTPはフィッシングを除くと確率的な攻撃方法以外知られていない
これを正攻法で突破できたら確実に賞貰えるレベルなので、実装ミスで何か見落としてると考える方が妥当
Permalink | 記事への反応(1) | 10:43
ツイートシェア
セッションの維持期間が長いからなんかしらでセッションIDが漏れていかれる説を推したい 新規ログインだと購入画面でクレカ番号の再入力が求められるから、AmazonのID+クレカ番号が...
28
