사용자 로그인 페이지는 속도 제한의 어떤 형태도 구현하지 않습니다

Writer M0X0101 Program webhacking.kr

WEB Not applicable Low No Reward Created: Jun 24, 2022 (2 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

사용자 로그인 페이지는 속도 제한의 어떤 형태도 구현하지 않습니다

Description

summary

As a best practice a login page should have a rate limitting

Reproduction process

  1. try to login
    Description
  2. intersept the requist with burpsuite
    Description
  3. sent the requist to intruder and chose the password filed
    Description
  4. pest a list of passwods and start attack
    Description
  5. if the password is true we will get 274 as length
    Description

Possible cause of vulnerability

you didnt make any rate limte for trying to login

How to patch

make some rate limite or use capcha

Expected results and impact

attacker can get account take over

Other notes and references

https://hackerone.com/reports/410451

Timeline

M0X0101 submitted ticket. June 24, 2022 (2 years ago)
rubiya MANAGER changed the severity from 'Medium' to 'Low'. June 26, 2022 (2 years ago)
rubiya MANAGER changed the status from 'Submitted' to 'Not applicable'. June 26, 2022 (2 years ago)
rubiya MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. June 26, 2022 (2 years ago)
rubiya MANAGER posted a comment. June 26, 2022 (2 years ago)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.

M0X0101 posted a comment. June 29, 2022 (2 years ago)

안녕하세요, 계정 인수가 매우 낮은 영향을 어떻게 설명할 수 있습니까…!? 나는 이것을 이해할 수 없습니다. 두 보고서를 보면 공격자가 사용자 ID 목록을 대학에 등록할 수 있으므로 매우 낮지 않은 매체라는 것을 알 수 있습니다. 사용 ID 열거 및 비 속도 제한이 있으며 이 목록과 매우 큰 암호 목록을 사용합니다. 비율 제한이 없는 경우 계정을 인계받기 위해