Long password denial of service

Writer 4deda3bb Program webhacking.kr

WEB Not applicable None No Reward Created: Feb 3, 2022 (2 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

denial of service

Description

개요

계정을 생성할 때 패스워드 길이를 제한하지 않는 것을 확인했습니다.

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

아래 패스워드(4,719 byte)로 계정을 생성하는데 성공했습니다.

T123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789123456789hellohellohellohello

예상되는 취약점 발생 원인

패스워드 최대 길이를 제한하지 않습니다.

패치 방법

패스워드 최대 길이를 제한해야합니다. 일반적인 웹 서비스에서는 서비스 거부 공격을 방지하기 위해 최대 암호 길이를 48자, 72자 또는 200자와 같이 제한하고 있습니다.

예상 결과 및 파급력

매우 긴 패스워드(1,000,000자 이상)가 서버에 전송되면 패스워드 해싱 프로세스가 상당한 리소스가 소모하고 DoS를 유발할 수 있습니다. 이는 CWE-400: Uncontrolled Resource Consumption에 해당됩니다. 아주 쉬운 DoS 공격의 대상이 될 수 있으며 공격자는 이 취약점을 이용해 여러 PC에서 DDoS 공격을 수행할 수 있습니다.

Timeline

4deda3bb submitted ticket. February 3, 2022 (2 years ago)
rubiya MANAGER changed the severity from 'High' to 'None'. February 6, 2022 (2 years ago)
rubiya MANAGER changed the status from 'Submitted' to 'Not applicable'. February 6, 2022 (2 years ago)
rubiya MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. February 6, 2022 (2 years ago)
rubiya MANAGER posted a comment. February 6, 2022 (2 years ago)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.

4deda3bb posted a comment. February 6, 2022 (2 years ago)

티켓을 확인해주셔서 감사합니다. 해당 취약점의 위험도가 어떻게 '없음’으로 결정되었는지 알고싶습니다.

rubiya MANAGER posted a comment. February 6, 2022 (2 years ago)

webhacking.kr 프로그램은 편의를 위해 포상 없이 종료되는 리포트는 일괄적으로 심각도 없음으로 처리하고 있습니다.

4deda3bb posted a comment. February 7, 2022 (2 years ago)

답변 감사합니다.