shikata ga nai

Private? There is no such things.

Chaining rate limiting for account lockoutを訳してみた

Hello there, ('ω')ノ

 

アカウントロックアウトの連鎖しているレート制限を。

 

脆弱性:

 レート制限の欠如

 

記事:

 https://medium.com/@n00b1e/chaining-rate-limiting-for-account-lockout-6a2a7828dd24

 

ツール:

 Burp Suite


Bugcrowdで、公開バグ報奨金プログラムのAndroidアプリをテストしているときに。

さまざまな形式やアクションでレート制限がないことに気付いて。

レート制限は基本的にぶら下がっているバグで。

注意を引いたのは、パスワードを忘れた機能で。

特定のメールのパスワードをリセットしようとすると。

パスワードリセットメールを送信する代わりに。

パスワードが自動的にリセットされて受信トレイに送信されたので。

Burp SuiteのIntruderに送信されたパスワード変更のリクエストを傍受すると。

パスワードは毎秒変更されて、ユーザはまったくログインできなくなって。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain