Weakness
자동화 공격
Description
개요
- 회원가입 페이지에서 이메일 인증이 횟수 제한 없이 중복 발송 가능한 것으로 확인 됩니다.
- 해당 기능을 악용하여 타인 이메일 계정을 입력 후 다수의 메일을 발송하는 ‘자동화 공격’ 가능성이 있음을 알려 드립니다.
재현 과정
-
[step1] ‘메인 > 회원가입’ 페이지로 이동하여 이메일 인증 기능이 있음을 확인, 개인 이메일 계정을 입력한 후 ‘재전송’ 버튼을 여러번 클릭
-
[step2] Step1에서 발송한 이메일이 모두 수신됨을 확인
-
[step3] 해당 기능을 통해 악의적인 이메일 대량 발송이 가능
예상되는 취약점 발생 원인
- 이메일 발송에 대한 횟수 제한이 부재하여 발생합니다
패치 방법
- 중복 발송을 방지하여야 합니다. 예를 들어 ‘1분 후 다시 전송 가능합니다.’ 등의 경고 문구 출력 후 일정 시간 재발송을 방지하는 방법으로 조치가 가능합니다
예상 결과 및 파급력
- 이메일의 중복 발송으로 인해 버그캠프 서버의 리소스를 불필요하게 낭비할 가능성이 있습니다
- 버그캠프 서버의 검증 미흡으로 불특정 타인에게 다수의 이메일을 송신하기 때문에 이로 인한 피해 발생 시 책임 소지가 있을 수 있습니다
- 악의적인 사용자가 support@bugcamp.io 과 같이 고객의 소중한 문의를 수신하는 이메일 주소에 해당 버그를 악용할 가능성도 있습니다.
V1nc3ntRyu 님 안녕하세요.
버그캠프 수퍼바이저 Jerry 입니다.
본 티켓은 Rate Limiting 이 부재한 사실을 제보해 주셨으나, 동일 내용의 제보가 먼저 접수되어 심각도:무효 로 평가합니다.
아울러, 과한 트래픽을 생성하는 테스트, DDOS 공격 등은 참여 규칙을 위반하는 행위이니 프로그램 참여 시 유의해 주세요.