OTP சரிபார்ப்பு முறையை குறியீட்டு ஊடுருவல் இன்றி எப்படி மீறினார்?
மூலக் கட்டுரை: Medium - InfoSec Writeups
ஆசிரியர்: பிரோனே பிஸ்வாஸ்
📌 தமிழில் விரிவான விளக்கம்:
1. OTP (ஒரே நேரத்தில் கடவுச்சொல்) என்றால் என்ன?
இது ஒரு பாதுகாப்பு குறியீடு. இது பொதுவாக உங்களது மொபைல் எண்ணிற்கு அனுப்பப்படும், உள்நுழைவு அல்லது பணப் பரிமாற்றத்தை உறுதிப்படுத்தும் ஒரு எண்ணாகும்.
2. குறியீட்டு ஊடுருவல் இல்லாமல் OTP சரிபார்ப்பு முறையை எப்படி மீறினார்?
இக்கட்டுரையில், ஆசிரியர் ஒரு சோதனை செயலியில் OTP அனுப்பும் மற்றும் சரிபார்ப்பதற்கான செயல்முறையை கவனித்தார். குறியீட்டைக் கொடுக்காமலே அனுப்பப்படும் பதிலில் OTP சரிபார்ப்பு நடைமுறை இல்லாமல், நேராக "அங்கீகாரம்" (success response) கிடைத்தது. இதனால் OTP தேவையின்றி உள்நுழைய முடிந்தது.
3. பயன்படுத்தப்பட்ட கருவிகள்:
-
Burp Suite – இணைய கோரிக்கைகளை (HTTP Requests) பிழையற்ற முறையில் கையாள உதவும்.
-
Proxy debugging – சாதனத்தில் உருவாகும் வலைபக்க பேச்சுக்களை கண்காணிக்க.
4. செயல்முறை (Steps):
-
OTP கோரிக்கையை அனுப்பினார்.
-
சரியான OTP இல்லாமலே அல்லது வெறுமனே POST request அனுப்பினார்.
-
சரிபார்ப்பு செய்யும் பக்கம் திரும்ப “verified” என பதில் கொடுத்தது.
-
இதன் மூலம் OTP சரிபார்ப்பு முறையை குறியாக்கம் இல்லாமல் மீற முடிந்தது.
5. இது எதைக் காட்டுகிறது?
இது சரியான “Backend validation” இல்லாததை காட்டுகிறது. ஒரு API endpoint நேரடியாக சரிபார்ப்பதற்குப் பதிலாக, frontend logic கையேந்தியது ஒரு முக்கிய பாதுகாப்பு பிழை.
6. பாதுகாப்பு பரிந்துரை:
-
OTP சரிபார்ப்பு backend-ல் மிகவும் கடுமையான கட்டுப்பாட்டுடன் அமைக்க வேண்டும்.
-
Response உங்களை "verified" என்று கூறும் முன் OTP பிழைச்செயல்களை backend-ல் உறுதி செய்ய வேண்டும்.
-
Time-based expiry, attempt-limit, encryption ஆகியவற்றை பின்பற்ற வேண்டும்
✅ பொதுமக்கள் புரிந்து கொள்ள சிறந்த எடுத்துக்காட்டு:
உங்கள் வீடு ஒரு பூட்டு வைத்திருக்கும் கதவு போல் நினைக்கவும். நீங்கள் அந்த கதவுக்கு ஒரு விசை கேட்டால், கதவையே திறக்காமல் “நீங்கள் வந்துவிட்டீர்கள்” என கூறுகிறது. ஆனால் உண்மையில் கதவு திறக்கப்படவில்லை, ஆனால் கணினி “நீ உள்ளே வந்துவிட்டாய்” என நம்புகிறது. அதேபோல் OTP சரிபார்ப்பையும் சரியாக backend மூலம் உறுதிப்படுத்தவில்லை என்றால் யாரும் உள்ளே நுழைய முடியும்.
Join the conversation