Weakness
UserId 열거
Description
요약
가입 페이지에서 사용자 ID 열거
재생산 과정
- 임의의 사용자 ID로 이메일 만들기
- 동일한 사용자 ID로 anthor 하나를 만드십시오.
- "*사용자 ID가 이미 존재했습니다"라는 오류가 발생합니다.
취약점의 가능한 원인
귀하의 기능은 사용자 ID와 exitet을 사용하여 사용자에 대한 응답을 변경합니다.
패치 방법
사용자 ID를 사용하지 않으면 이 계정을 만들 것이라고 말해야 합니다.
예상 결과 및 영향
공격자는 내 preveso 보고서로 로그인 페이지의 무차별 대입을 시도하는 사용자 ID 목록을 만들 수 있습니다.
기타 참고 사항 및 참고 자료
https://hackerone.com/reports/666722
https://hackerone.com/reports/47627
발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.