Hello there, ('ω')ノ
アカウントロックアウトの連鎖しているレート制限を。
脆弱性:
レート制限の欠如
記事:
https://medium.com/@n00b1e/chaining-rate-limiting-for-account-lockout-6a2a7828dd24
ツール:
Burp Suite
Bugcrowdで、公開バグ報奨金プログラムのAndroidアプリをテストしているときに。
さまざまな形式やアクションでレート制限がないことに気付いて。
レート制限は基本的にぶら下がっているバグで。
注意を引いたのは、パスワードを忘れた機能で。
特定のメールのパスワードをリセットしようとすると。
パスワードリセットメールを送信する代わりに。
パスワードが自動的にリセットされて受信トレイに送信されたので。
Burp SuiteのIntruderに送信されたパスワード変更のリクエストを傍受すると。
パスワードは毎秒変更されて、ユーザはまったくログインできなくなって。
Best regards, (^^ゞ