--- disqus: jpower --- # OWASP TOP10 Identity & Auth Failure(Authentication Bypasses) ## 2 2FA Password Reset  Q： 用Paypal過去的漏洞當範例，如果刪除掉要用來驗證的參數可以繞過驗證機制。題目是從新設定密碼要驗證身份，練習試著繞過身份驗證。 參考連結：https://henryhoggard.co.uk/blog/Paypal-2FA-Bypass A： 試著按paypal範例一樣刪除參數，會發現驗證失敗。  嘗試另一種方法，可以發現參數secQuestion後面有帶數字，把數字換掉試試看就可以成功了。  ###### tags: `webgoat`,`Identity & Auth Failure`