GitHub 上のビジネス ロジックの欠陥、1,250 ドル相当。
この脆弱性は、ユーザーが同じ電子メール アドレスに対して複数の確認コードを設定できるようにするアプリケーションで発見されました。
攻撃者は、ユーザーの ID と電子メール アドレスを使用しても、既存の 2FA を回避できます。
ブルートフォースや他のアプリケーションからコードを盗むことはできません。
ただし、バックエンド API を使用することで修正されました。
ユーザーに対する検出攻撃が「編集済み/一意に識別されていない場合にのみ識別される場合」に備えて、ユーザーを悪用する犯罪者 (障害) が見つからないエンコーディング エラーが見つかりました。
コメント