IT Security Enthusiast • Bug Hunter • Penetration Tester

Kirim Jutaan SMS OTP Tanpa Pembatasan Limit

K

Description

Jadi judulnya itu agak lebay gan, btw nama keren nya bug ini itu adalah No Rate Limit. Tapi pada kasus kali ini terjadi pada pengiriman sms otp yang tidak dibatasi sehingga akan menghabiskan resource sms gateway milik platform tersebut (kalau sifatnya tidak unlimited atau mungkin memiliki kuota).

Affected Endpoint

  • https://[redacted]/apg/api/v1/me/phone-token?on=register

Steps to Reproduce

  • Kunjungi aplikasi dan hamba coba mendaftarkan user baru.
Halaman registrasi user baru.
  • Intercept request dan melihat hasil response.
Tes pengiriman sms otp
  • Saya coba lakukan testing dengan mengirimkan 100 sms kode otp dengan cara memasukkan request ke intruder lalu setting attack type ke sniper dan payload type null payload (karna tidak ada payload yang akan dikirim hanya mengirimkan request secara berulang).
Setting payload untuk pengiriman 100 sms secara otomatis
  • Berdasarkan hasil testing, pengiriman request sms otp sebanyak 100 kali dalam waktu kurang dari 2 detik sudah berhasil dilakukan dengan status kode 200 dan jumlah length sama (biasanya kalau cek ada kegagalan saya menandainya dengan melihat status kode dan length itu jumlahnya berbeda).
Pengiriman 100 sms kode otp berhasil dilakukan
  • Lalu setelah saya melihat hape saya yang memiliki nomor tujuan untuk target diatas maka notif sms akan masuk secara terus-menerus hingga 100 sms (bunyi tung tang tung tang tuuunggg).
100 sms berhasil diterima

Miscellaneous

Akan terbayang apabila attacker mengirim lebih dari 100, mungkin 1.000 hingga 10.000, atau tak terbatas hingga resource habis dan tagihan (bila ada) akan membengkak 🙂 (ini dilihat dari segi perusahaan/startup tersebut) #yakali #yamasa #yabisaaja #yagitulah

Untuk menjaga diri dari kerentanan ini salah satunya adalah dengan menggunakan rate limit pada pengiriman request, salah satu contoh nya bisa menggunakan waktu sepersekian menit maka user akan dapat melakukan request kembali atau memberikan kesempatan beberapa kali jika nomor telepon tujuan sudah terdeteksi mengirimkan request otp sebelumnya.

2 comments

IT Security Enthusiast • Bug Hunter • Penetration Tester