Это означает, что изменение IP-адреса клиента или IP-адреса, представляемого серверу, может помочь обойти это ограничение и продолжить перебор OTP.
Как и ожидалось, мне удалось выполнить брутфорс OTP и добиться успешного входа через OTP.
Было очевидно, что имеется уязвимость Header Injection, поэтому, помимо обхода IP-контроля или ограничения скорости, могли быть и другие возможности для эксплуатации.
Если установить заголовок X-Forwarded-For: 127.0.0.1, сервер будет считать, что доступ осуществляется с внутреннего IP-адреса, и позволит пользователю получить доступ к ограниченному контенту.
И, помимо этого, я успешно выполнил горизонтальную эскалацию привилегий (хотя я не пытался войти в по…