account takeover

Writer M0X0101 Program 버그캠프 (Bugcamp)

WEB Not applicable None No Reward Created: Aug 25, 2022 (2 years ago) Last Updated: Aug 29, 2022 (2 years ago)

Weakness

Account takeover

Description

개요

non rate limit at login page leads to account takeover

재현 과정

  1. go to login page : https://bugcamp.io/sign-in
  2. entar your email and wrong pass and intersept the request
  3. you will see that the password will encept with sha256 so make anlist of password and encripted all of them to sha256
  4. send the requst to repeter to try all of password in our list

예상되는 취약점 발생 원인

full account takeover

패치 방법

make a rate limit on login page

기타사항 및 레퍼런스

https://hackerone.com/reports/209008

Attachment

Timeline

M0X0101 submitted ticket. August 25, 2022 (2 years ago)
Steve MANAGER changed the status from 'Submitted' to 'Not applicable'. August 25, 2022 (2 years ago)
Steve MANAGER posted a comment. August 25, 2022 (2 years ago)

해당 티켓은 프로그램 규칙의 포상에서 제외되는 경우에 명시된 일부 항목에 부합하여 종료됨(무효) 로 분류됩니다.

  • 무작위 대입 공격
  • 취약점 개념 증명 코드(PoC)를 포함하지 않은 제보
  • 위협 가능성만을 제시하는 제보(e.g. 패스워드 복잡도 미흡, 서버 정보 노출 등)

프로그램 규칙을 확인 후 버그바운티 활동에 참여해주시면 감사드리겠습니다.

Jerry MANAGER changed the severity from 'Critical' to 'None'. August 29, 2022 (2 years ago)
Jerry MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. August 29, 2022 (2 years ago)