이메일 / 사용자 이름 열거

개요

가입 페이지에서 이메일 열거

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

1. 이동
2. 존재하는 이메일 넣기
3. PIC POC에서와 같이 오류가 발생합니다.

예상되는 취약점 발생 원인

사용자의 이메일이 유출됩니다. / 정보의 공개.
공격자는 두 응답(성공 및 실패)을 비교하고 대규모로 사용자의 전자 메일을 열거할 수 있습니다.

패치 방법

더 나은 보안 방법은 이미 계정이 있는지 여부에 관계없이 이메일에 대한 링크를 보냈다고 말하는 것입니다.
메시지를 표시해야합니다 : 이미 등록되어 있고 다른 프로세스가 완료되면 전자 메일 메시지에 “누군가 해당 전자 메일 주소로 가입하려고 시도했습니다. 그렇다면 로그인하십시오.”

예상 결과 및 파급력

사용자의 이메일이 유출됩니다. / 정보의 공개.

기타사항 및 레퍼런스

참조
https://hackerone.com/reports/666722
https://hackerone.com/reports/47627