It4chis3c (Twitter) は、公開バグ報奨金プログラムで別のバグを発見しました。
このバグは、アカウント登録時およびログイン時に携帯電話番号が入力されたときに発見され、サーバーの応答を操作することで携帯電話番号認証を回避できました。
これは、OTP がクライアント側で適切に検証されておらず、携帯電話番号の名前やパスワードの検証を必要とせずにアカウントへのアクセスが許可されているために発生しました。
公開バグ報奨金プログラムの OTP バイパス バグ from infosecwriteups.com
security summaryIt4chis3c (Twitter) は、公開バグ報奨金プログラムで別のバグを発見しました。
このバグは、アカウント登録時およびログイン時に携帯電話番号が入力されたときに発見され、サーバーの応答を操作することで携帯電話番号認証を回避できました。
これは、OTP がクライアント側で適切に検証されておらず、携帯電話番号の名前やパスワードの検証を必要とせずにアカウントへのアクセスが許可されているために発生しました。
コメント