Weakness
Insufficient Security Configurability
Description
보고서 요약
계정 가입 시 이메일 인증을 하지 않기 때문에 타인의 이메일 주소를 선점하여 가입함으로써, 타인의 가입을 막을 수 있습니다. 따라서, 가용성을 일부 침해할 수 있습니다.
재현단계
http://wargame.kr/#join
타인의 이메일 주소를 선점하여 계정을 가입하십시오.- 가입한 계정을 사용하여
http://wargame.kr/#join
페이지에서 재가입을 시도하는 경우 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직이 구현되어 있지 않아Info! email is duplicated
로 사용자는 자신의 계정을 새로 생성할 수 없습니다.
수정 방안
새 계정을 등록 할 때 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직을 구현하십시오.
가입시 이메일 검증을 통해 타인의 이메일로는 가입할 수 없도록 해야한다는 제보는 감사합니다. 하지만 wargame.kr 서버 자체의 정보 유출이나 서버 공격에는 활용될 수 없으므로 해당 정책대로 코드 수정 후 티켓 Close 하겠습니다.