Hello there, ('ω')ノ
OWASP TOP10 2021について。
A02:2021の暗号化の失敗には、29のCWEがあって。
これには、
弱い暗号化アルゴリズムの実装
不十分または緩いキー生成
暗号化の実装または証明書の検証の失敗
クリアテキストでのデータの送信 など
データの転送中または保存中のセキュリティ障害が含まれていて。
よくあるのがパスワードのリセットの際のトークンで。
2つのメールアドレスで試してみて。
hbothra22+1@gmail.com
hbothra22+2@gmail.com
2つのリセットトークンを比較してみるとメカニズムがわかったりと。
アカウント1のリンクをリセット:
https://target.com/reset_password?token=zbp.nwavaqjbeptho%401+neugboufenu
アカウント2のリンクをリセット:
https://target.com/reset_password?token=zbp.nwavaqjbeptho%402+neugboufenu
ちなみに%40⇦@で。
その他のケースだと、同じように2つのアドレスを用意して。
vasuyadav1@gmail.com
vasuyadav2@gmail.com
アカウントのパスワードのリセットをリクエストして。
メールでリンクを受け取ると。
最後に「==」が表示されるとBase64である可能性があるので。
それをデコードしてみると。
2つのアカウントでの違いがメールアドレスの違いだとわかったりと。
Best regards, (^^ゞ