Weakness
Account takeover
Description
개요
non rate limit at login page leads to account takeover
재현 과정
- go to login page : https://bugcamp.io/sign-in
- entar your email and wrong pass and intersept the request
- you will see that the password will encept with sha256 so make anlist of password and encripted all of them to sha256
- send the requst to repeter to try all of password in our list
예상되는 취약점 발생 원인
full account takeover
패치 방법
make a rate limit on login page
기타사항 및 레퍼런스
https://hackerone.com/reports/209008
해당 티켓은 프로그램 규칙의 포상에서 제외되는 경우에 명시된 일부 항목에 부합하여
종료됨(무효)
로 분류됩니다.프로그램 규칙을 확인 후 버그바운티 활동에 참여해주시면 감사드리겠습니다.