Hello there, ('ω')ノ

 

OWASP TOP10 2021について。

A02：2021の暗号化の失敗には、29のCWEがあって。

 

これには、

　弱い暗号化アルゴリズムの実装

　不十分または緩いキー生成

　暗号化の実装または証明書の検証の失敗

　クリアテキストでのデータの送信　など

データの転送中または保存中のセキュリティ障害が含まれていて。

 

よくあるのがパスワードのリセットの際のトークンで。

２つのメールアドレスで試してみて。

　hbothra22+1@gmail.com

　hbothra22+2@gmail.com

 

２つのリセットトークンを比較してみるとメカニズムがわかったりと。

　アカウント１のリンクをリセット：

　　https://target.com/reset_password？token=zbp.nwavaqjbeptho％401+neugboufenu

　アカウント2のリンクをリセット：

　　https://target.com/reset_password？token=zbp.nwavaqjbeptho％402+neugboufenu

 

ちなみに％40⇦@で。

 

その他のケースだと、同じように２つのアドレスを用意して。

　vasuyadav1@gmail.com
　vasuyadav2@gmail.com

 

アカウントのパスワードのリセットをリクエストして。

メールでリンクを受け取ると。

 

 

最後に「==」が表示されるとBase64である可能性があるので。

それをデコードしてみると。

２つのアカウントでの違いがメールアドレスの違いだとわかったりと。

 

 

Best regards, (^^ゞ