Nuevos labs cada semana — Accede a todos desde 7,99€/mes

>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta

Labs de Auth Bypass

Authentication Bypass

¿Qué es Auth Bypass?

Authentication Bypass es cualquier técnica que permite acceder a una cuenta o recurso sin pasar el flujo de autenticación legítimo: defectos en JWT, OAuth, password reset, magic links, MFA y race conditions sobre login.

¿Por qué practicar Auth Bypass?

Account takeover es el santo grial del bug bounty: P1 inmediato y bounties que arrancan en $1,000 y suben a $50,000+ en programs grandes. Las superficies de ataque son crecientes (passwordless, magic links, social login) y los devs siguen cometiendo los mismos errores.

¿Qué aprenderás con los labs de Auth Bypass?

Aprenderás auditoría completa de JWT (alg=none, kid injection, jwk header, key confusion HS/RS), OAuth pitfalls (state ausente, redirect_uri loose, code reuse), MFA bypass via response manipulation, y password reset poisoning vía Host header.

Tipos de Auth Bypass que cubrimos

  • JWT alg=none

    Cambias header a `{"alg":"none"}` y eliminas la firma. Libs no actualizadas lo aceptan.

  • JWT kid injection

    El field `kid` se concatena en path/SQL. Inyectas para apuntar a un archivo conocido (ej. /dev/null → secreto vacío).

  • OAuth state missing

    Sin state, CSRF en el callback permite linkear cuentas. Vector de account hijack.

  • Password reset poisoning

    El email de reset usa Host header sin validar. Atacante envía `Host: evil.com` → token reset llega al atacante.

  • MFA bypass

    Endpoint `/verify-mfa` no chequea sesión, o response manipulation: cambias `{verified:false}` → `true`.

¿Cómo encontrar y explotar Auth Bypass?

Playbook práctico — del recon a la prueba de concepto.

  1. 1

    Mapear los flujos de auth

    Login, registro, reset de contraseña, magic link, MFA y social login. Cada uno es una superficie con sus propios fallos.

    POST /login · POST /forgot-password · POST /verify-otp · /oauth/callback
  2. 2

    Auditar el JWT

    Decodifica el token y prueba alg=none (firma vacía) y la confusión de algoritmo RS256→HS256 firmando con la clave pública como secreto HMAC.

    header {"alg":"none"} sin firma   ·   firmar HS256 usando la public key del server
  3. 3

    Reventar secretos débiles

    Si el JWT usa HS256 con un secreto pobre, crackéalo offline y firma tokens arbitrarios (cambia el rol a admin).

    hashcat -a 0 -m 16500 jwt.txt rockyou.txt
  4. 4

    Atacar el password reset

    Envenena el enlace de reset con un Host/X-Forwarded-Host malicioso; cuando la víctima pida reset, el token viaja a tu dominio.

    POST /forgot-password   Host: evil.com   →   enlace con token apunta a evil.com
  5. 5

    Romper OAuth

    Comprueba si falta el parámetro state (CSRF de account linking) o si redirect_uri es laxo para robar el authorization code.

    /oauth/authorize?...&redirect_uri=https://evil.com/cb (sin state)
  6. 6

    Saltar el MFA

    Prueba si el endpoint que sigue al MFA confía en una sesión ya válida sin verificarlo, o manipula la respuesta del verificador.

    Response: {"mfa":false} → cambiar a {"mfa":true}   ·   acceder directo a /dashboard tras el primer factor

Aprende la teoría

Academy: Authentication Bypass

Cargando labs...

Ver en catálogo completo →

Preguntas frecuentes

¿Qué es un Authentication Bypass?

Es cualquier técnica que permite acceder a una cuenta o recurso sin completar el flujo de autenticación legítimo: fallos en JWT, OAuth, recuperación de contraseña, magic links o MFA que terminan en account takeover.

¿Cómo se explota un Authentication Bypass?

Depende del fallo: con JWT alg=none o secretos débiles se forjan tokens; con password reset poisoning se desvía el token de reset al atacante; con OAuth sin state se enlazan cuentas; y con manipulación de respuesta se salta el MFA.

¿Cómo encontrar Auth Bypass en bug bounty?

Audita cada flujo de identidad: decodifica y manipula JWTs, prueba envenenar el reset con el header Host, revisa si OAuth valida state y redirect_uri, y comprueba si el paso de MFA realmente bloquea el acceso al recurso final.

¿Cómo prevenir un Authentication Bypass?

Fija el algoritmo del JWT en el servidor y usa secretos fuertes, genera tokens de reset impredecibles ligados al usuario y nunca uses el Host del request para construir enlaces, valida state y redirect_uri en OAuth, y verifica MFA en cada paso server-side.

¿Diferencia entre Authentication Bypass y Broken Access Control?

El Authentication Bypass rompe el 'quién eres' (entras como otro usuario o sin login). El Broken Access Control rompe el 'qué puedes hacer' una vez autenticado (accedes a recursos o funciones que no te corresponden).

Otras categorías relacionadas

JWT

JSON Web Token (JWT) Attacks

OAuth

OAuth 2.0 / SSO Attacks

Broken Access Control

Broken Access Control (BAC)

→ Ver todas las vulnerabilidades→ Academy gratuita→ Precios desde 7,99€/mes

Empieza con labs de Auth Bypass

Practica Authentication Bypass con labs basados en reportes reales. En español. Desde 7,99€/mes.

Empieza con el primer lab de Auth Bypass