Account Takeover by Unicode/Punycode email password reset Уже довольно давно у меня в бэклоге лежала интересная техника, найденная где-то на просторах сети, которой я хочу сегодня поделиться. Punycode / IDN Homograph традиционно используется в проведении фишинговых компаний для получения первоначального доступа во время Red Team и пентестов, но можно также использовать эту технику для тестирования механизмов восстановления пароля/байпаса 2FA через email в рамках багбаунти😎 Сначала немного теории: IDN (Internationalized Domain Name) - это технология, позволяющая использовать в доменных именах символы из национальных алфавитов: кириллицы, китайских иероглифов, арабской письменности и пр. Так как изначально в системе доменных имён были предусмотрены только латинские буквы A-Z, цифры 0-9 и дефис, придумали специальную кодировку - Punycode/Unicode, как способ закодировать домен с не-ASCII символами в ASCII-совместимую форму. Например: домен.рф → xn--d1acufc.xn--p1ai ♦️Тестирование механизмов восстановления пароля/байпаса 2FA через почту по умолчанию в методологии любого пентестера и багхантера, поэтому берём валидный email victim@gmail.com и меняем домен на Unicode-вариант victim@gmáil.com ♦️Добавляем Collaborator victim@gmáil.com.<collab>.burpcollaborator.net, перехватываем запрос → подменяем email жертвы и отправляем дальше. ♦️ Наблюдаем результат → в Collaborator проверяем SMTP отстуки. Если приходит письмо для сброса пароля / 2FA - значит система некорректно обработала Unicode. ♦️Репортим багу как Account Takeover для victim@gmail.com 💸 Вы великолепны! Почему так работает для фишинга абсолютно понятно, латинская a vs кириллическая а визуально практически неотличимы, а вот как можно допустить такую ошибку в механизме восстановления пароля для меня загадка😜 Но тем не менее уже есть кейсы когда багхантеры лутали за эту багу 10k&#036; в публичных программах.