文章总结： 文章披露一种新型2FA绕过：登录后服务端先返回预2FA的JWT，该令牌本应用于换取完整会话，却被后端API直接视为有效凭证，攻击者可借此JWT调用改密、关闭2FA等敏感接口，完全跳过OTP验证。成因是权限分级缺失，建议对JWT加作用域限制。 综合评分： 82 文章分类： 漏洞分析,WEB安全,渗透测试,应用安全

【漏洞挖掘Tips】一种新的2FA 绕过方式

原创

Pwn1

漏洞集萃

2025年9月24日 16:52 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

前言

大佬们好，今天分享的内容是一种新的2FA绕过方式。

漏洞背景

之前已经分享过很多2FA，再次又看到了一种非常独特的绕过方式特此分享一下；

一般情况下，我们去进行2FA的绕过是观察是否可以通过一些爆破或者是一些接口返回2fa，以及说是一些条件竞争。

但是今天分享的内容则是一种新的方式；

首先，安全研究员也是照例的通过爆破浅浅的尝试了一下： 1、尝试强制浏览，例如尝试访问 https://example.com/account 而不输入 OTP 值 2、尝试输入错误的值并操纵返回包 3、尝试暴力破解，但发现有速率限制

但是都没有成功；

漏洞发现

随后研究员通过分析发现该项目的流程是这样的 ：

1、输入邮箱和密码 2、服务端验证凭据，并响应初始 jwt 3、服务端要求用户输入第二因素 4、用户提交 OTP，服务端验证成功后，才颁发完整权限的会话令牌 5、随后用户使用该令牌访问受保护资源

但是经过测试发现： 1、用户输入邮箱 + 密码。 2、服务端立即返回一个 初始JWT 3、用户本应使用该 JWT + OTP 向 /verify-2fa 等端点提交，换取“完全权限令牌”。 4、但问题在于：这个预 2FA 的 JWT 本身已被后端 API 接受为有效身份凭证。 5、攻击者直接使用该 JWT 调用敏感 API（如 /api/change-password、/api/disable-2fa），完全绕过 2FA 验证步骤。

结论

此时，即便没有OTP攻击者也可以直接请求敏感操作，核心原因是后端程序没有做对应的权限验证，理论上应该针对jwt做一个权限分级。

以上，便是本次漏洞的全过程。 希望各位看官老爷有所收获～

原本：https://medium.com/@mhmodgm54/logical-2fa-email-verification-bypass-via-pre-2fa-jwt-acceptanceintroduction-49f6b129fd32

觉得本文内容对您有启发或帮助？ 点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

微软含泪打钱6000$！一条”中文”CRLF冲进 Hall of Fame

【0day 预警】Atlassian Jira Service Management Cloud 曝出 “一接管任意账户”

【技术干货】使用一个思路，接连拿下 5 个 Bugcrowd P2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1《【漏洞挖掘Tips】一种新的2FA 绕过方式》