平时也会挖挖SRC，但是有时候思路不足或者一个绕过方法思路都会翻翻hackerone一些披露报告，学习学习大佬们的一些操作，但是今天看到一些，TIKTOK Android 应用程序的身份认证绕过，果然在hackerone国内不认的，国外都给你认，当然可能也是看什么洞！看什么平台审核！

回到主题TIKTOK官方对该漏洞的总结：发现了一个漏洞，如果快速连续输入多次错误尝试，两步验证端点上的随机超时问题可能会导致潜在的身份验证绕过。研究发现，此漏洞需要访问与帐户关联的用户电子邮件/密码或电话号码/代码，并且需要多次暴力尝试才能绕过。

下面是漏洞绕过的一个视频过程：

我尝试思考这个漏洞的问题是不是以下原因导致或者是其它问题?

在这个漏洞的描述中提到需要进行多次暴力尝试才能成功，主要原因是系统为了应对恶意攻击者的尝试，采用了一种反制措施，即在连续错误的尝试之后引入了随机超时机制?

一般而言，系统会实施登录失败的计数机制，并在达到一定次数后对账户进行锁定或者引入延时。这样设计的目的是为了防止暴力攻击，其中恶意用户尝试通过大量的用户名和密码组合进行登录，试图猜测正确的凭证。通过引入延时，系统可以限制攻击者尝试的速度，从而降低猜测正确凭证的成功概率。

在这个漏洞描述中，攻击者可能利用了两步验证端点上的随机超时问题，通过快速连续输入多次错误尝试，可能导致在某些尝试中随机超时的绕过。这可能是因为系统在实施随机超时时存在某种漏洞，使得攻击者能够通过特定的操作模式或时间，规避了系统的反制措施。

这里留个报告地址：

https://hackerone.com/reports/1747978