공격자는 다른 사용자가 회원 가입을 하지 못하도록 차단할 수 있습니다.

Writer what_web Program wargame.kr

WEB Informative Low No Reward Created: Jul 21, 2021 (3 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

Insufficient Security Configurability

Description

보고서 요약

계정 가입 시 이메일 인증을 하지 않기 때문에 타인의 이메일 주소를 선점하여 가입함으로써, 타인의 가입을 막을 수 있습니다. 따라서, 가용성을 일부 침해할 수 있습니다.

재현단계

  • http://wargame.kr/#join 타인의 이메일 주소를 선점하여 계정을 가입하십시오.
  • 가입한 계정을 사용하여 http://wargame.kr/#join 페이지에서 재가입을 시도하는 경우 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직이 구현되어 있지 않아 Info! email is duplicated 로 사용자는 자신의 계정을 새로 생성할 수 없습니다.

수정 방안
새 계정을 등록 할 때 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직을 구현하십시오.

Timeline

what_web submitted ticket. July 21, 2021 (3 years ago)
4e6c6258 MANAGER changed the severity from 'Medium' to 'Low'. October 26, 2021 (2 years ago)
4e6c6258 MANAGER changed the status from 'Submitted' to 'Informative'. October 26, 2021 (2 years ago)
4e6c6258 MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. October 26, 2021 (2 years ago)
4e6c6258 MANAGER posted a comment. October 26, 2021 (2 years ago)

가입시 이메일 검증을 통해 타인의 이메일로는 가입할 수 없도록 해야한다는 제보는 감사합니다. 하지만 wargame.kr 서버 자체의 정보 유출이나 서버 공격에는 활용될 수 없으므로 해당 정책대로 코드 수정 후 티켓 Close 하겠습니다.