가입 페이지의 사용자 ID 열거

Writer M0X0101 Program webhacking.kr

WEB Not applicable Low No Reward Created: Jun 24, 2022 (2 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

UserId 열거

Description

요약

가입 페이지에서 사용자 ID 열거

재생산 과정

  1. 임의의 사용자 ID로 이메일 만들기
  2. 동일한 사용자 ID로 anthor 하나를 만드십시오.
  3. "*사용자 ID가 이미 존재했습니다"라는 오류가 발생합니다.

Description

취약점의 가능한 원인

귀하의 기능은 사용자 ID와 exitet을 사용하여 사용자에 대한 응답을 변경합니다.

패치 방법

사용자 ID를 사용하지 않으면 이 계정을 만들 것이라고 말해야 합니다.

예상 결과 및 영향

공격자는 내 preveso 보고서로 로그인 페이지의 무차별 대입을 시도하는 사용자 ID 목록을 만들 수 있습니다.

기타 참고 사항 및 참고 자료

https://hackerone.com/reports/666722
https://hackerone.com/reports/47627

Timeline

M0X0101 submitted ticket. June 24, 2022 (2 years ago)
rubiya MANAGER changed the status from 'Submitted' to 'Not applicable'. June 26, 2022 (2 years ago)
rubiya MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. June 26, 2022 (2 years ago)
rubiya MANAGER posted a comment. June 26, 2022 (2 years ago)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.

M0X0101 posted a comment. June 29, 2022 (2 years ago)

안녕하세요, 계정 인수가 매우 낮은 영향을 어떻게 설명할 수 있습니까…!? 나는 이것을 이해할 수 없습니다. 두 보고서를 보면 공격자가 사용자 ID 목록을 대학에 등록할 수 있으므로 매우 낮지 않은 매체라는 것을 알 수 있습니다. 사용 ID 열거 및 비 속도 제한이 있으며 이 목록과 매우 큰 암호 목록을 사용합니다. 비율 제한이 없는 경우 계정을 인계받기 위해

Steve BUGCAMP STAFF posted a comment. July 4, 2022 (2 years ago)

안녕하세요 버그캠프 수퍼바이저 Steve입니다.

해당 티켓의 경우 프로그램 규칙에 명시된 보상에서 제외되는 티켓 예시에 포함된 내용입니다.
프로그램 규칙을 준수하여 버그바운티 활동을 진행해주시길 바랍니다.

REF) [프로그램 규칙] - [보상에서 제외되는 티켓 예시]

  • 위협 가능성만을 제시하는 정책 설정 (e.g. 패스워드 복잡도 미비 등)
  • Missing Rate Limit