공격자는 다른 사용자가 회원 가입을 하지 못하도록 차단할 수 있습니다.

작성자 what_web 프로그램 wargame.kr

WEB 종료됨(유익함) 낮음 보상없음 작성일: 2021년 7월 21일 (3년 전) 마지막 업데이트일: 2022년 7월 17일 (2년 전)

취약점 유형

Insufficient Security Configurability

상세내용

보고서 요약

계정 가입 시 이메일 인증을 하지 않기 때문에 타인의 이메일 주소를 선점하여 가입함으로써, 타인의 가입을 막을 수 있습니다. 따라서, 가용성을 일부 침해할 수 있습니다.

재현단계

  • http://wargame.kr/#join 타인의 이메일 주소를 선점하여 계정을 가입하십시오.
  • 가입한 계정을 사용하여 http://wargame.kr/#join 페이지에서 재가입을 시도하는 경우 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직이 구현되어 있지 않아 Info! email is duplicated 로 사용자는 자신의 계정을 새로 생성할 수 없습니다.

수정 방안
새 계정을 등록 할 때 가입한 이메일에 대한 신원을 인증할 수 있는 계정 확인 로직을 구현하십시오.

타임라인

what_web 님이 티켓을 제출했습니다. 2021년 7월 21일 (3년 전)
4e6c6258 MANAGER 님이 위험도를 '중간'에서 '낮음'으로 변경했습니다. 2021년 10월 26일 (3년 전)
4e6c6258 MANAGER 님이 상태를 '제출됨'에서 '종료됨(유익함)'으로 변경했습니다. 2021년 10월 26일 (3년 전)
4e6c6258 MANAGER 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2021년 10월 26일 (3년 전)
4e6c6258 MANAGER 님이 댓글을 남겼습니다. 2021년 10월 26일 (3년 전)

가입시 이메일 검증을 통해 타인의 이메일로는 가입할 수 없도록 해야한다는 제보는 감사합니다. 하지만 wargame.kr 서버 자체의 정보 유출이나 서버 공격에는 활용될 수 없으므로 해당 정책대로 코드 수정 후 티켓 Close 하겠습니다.