Description
Jadi judulnya itu agak lebay gan, btw nama keren nya bug ini itu adalah No Rate Limit. Tapi pada kasus kali ini terjadi pada pengiriman sms otp yang tidak dibatasi sehingga akan menghabiskan resource sms gateway milik platform tersebut (kalau sifatnya tidak unlimited atau mungkin memiliki kuota).
Affected Endpoint
- https://[
redacted]/apg/api/v1/me/phone-token?on=register
Steps to Reproduce
- Kunjungi aplikasi dan hamba coba mendaftarkan user baru.
- Intercept request dan melihat hasil response.
- Saya coba lakukan testing dengan mengirimkan 100 sms kode otp dengan cara memasukkan request ke intruder lalu setting attack type ke sniper dan payload type null payload (karna tidak ada payload yang akan dikirim hanya mengirimkan request secara berulang).
- Berdasarkan hasil testing, pengiriman request sms otp sebanyak 100 kali dalam waktu kurang dari 2 detik sudah berhasil dilakukan dengan status kode 200 dan jumlah length sama (biasanya kalau cek ada kegagalan saya menandainya dengan melihat status kode dan length itu jumlahnya berbeda).
- Lalu setelah saya melihat hape saya yang memiliki nomor tujuan untuk target diatas maka notif sms akan masuk secara terus-menerus hingga 100 sms (bunyi tung tang tung tang tuuunggg).
Miscellaneous
Akan terbayang apabila attacker mengirim lebih dari 100, mungkin 1.000 hingga 10.000, atau tak terbatas hingga resource habis dan tagihan (bila ada) akan membengkak 🙂 (ini dilihat dari segi perusahaan/startup tersebut) #yakali #yamasa #yabisaaja #yagitulah
Untuk menjaga diri dari kerentanan ini salah satunya adalah dengan menggunakan rate limit pada pengiriman request, salah satu contoh nya bisa menggunakan waktu sepersekian menit maka user akan dapat melakukan request kembali atau memberikan kesempatan beberapa kali jika nomor telepon tujuan sudah terdeteksi mengirimkan request otp sebelumnya.
Nama aplikasinya apa min?
aplikasi apanya maksud nya ? kalo untuk tampering nya Burp, cuma kalo aplikasi target ga bisa disebut bro