Hello there, ('ω')ノ

 

OTP Bruteforce（Apigee API）を介したアカウントの乗っ取りを。

 

脆弱性：

　OTPバイパス

　ブルートフォース

　レート制限の欠如

 

記事：

　https://medium.com/@vishnu0002/account-takeover-via-otp-bruteforce-apigee-api-9b5481c642df

 

今回は、攻撃者によるユーザのアカウント乗っ取りにつながる可能性の説明を。

 

脆弱性の種類：

　A2：2017-認証の失敗

製品エリア：

　Eコマース

攻撃ベクトル：

　パスワードのリセット

影響：

　ユーザーアカウントへの不正アクセス

コンセプトの証明：

このアプリケーションのパスワードリセット機能は、OTP検証に基づいていて。

（OTP：ワンタイムパスワード）

アカウントのパスワードをリセットしたい場合は。

リセットボタンをクリックするだけで。

OTPがユーザアカウントの電子メールに送信されて。

 

ここでの欠陥は、レート制限が設定されておらず。

攻撃者に6桁のOTPをブルートフォースする無限の機会を与えていることで。

 

OTP検証のリクエストを傍受し、6桁の数字をブルートフォースすることで。

アカウントのパスワードをリセットすることができたので。

これを使用すると、ユーザーデタを変更して。

OTPのリセットをブルートフォースすることで。

任意のアカウントのパスワードを変更およびリセットすることができて。

下記が、脆弱なリクエストで。

 

 

OTPをブルートフォースにより、Eコマースユーザに。

新しいパスワードを設定することができて。

 

 

Best regards, (^^ゞ