Hello there, ('ω')ノ

 

アカウントロックアウトの連鎖しているレート制限を。

 

脆弱性：

　レート制限の欠如

 

記事：

　https://medium.com/@n00b1e/chaining-rate-limiting-for-account-lockout-6a2a7828dd24

 

ツール：

　Burp Suite

Bugcrowdで、公開バグ報奨金プログラムのAndroidアプリをテストしているときに。

さまざまな形式やアクションでレート制限がないことに気付いて。

レート制限は基本的にぶら下がっているバグで。

注意を引いたのは、パスワードを忘れた機能で。

特定のメールのパスワードをリセットしようとすると。

パスワードリセットメールを送信する代わりに。

パスワードが自動的にリセットされて受信トレイに送信されたので。

Burp SuiteのIntruderに送信されたパスワード変更のリクエストを傍受すると。

パスワードは毎秒変更されて、ユーザはまったくログインできなくなって。

 

Best regards, (^^ゞ