itsGno.github.io

No Rate Limit

No Rate Limit เป็นหนึ่งในช่องโหว่ประเภท miss configuration ที่เป็นช่องโหว่ที่เกิดขึ้นเมื่อมี function ในการใช้งาน web application ที่เรามักจะเห็นกันในปัจจุบัน อย่างเช่น ขอ SMS/Email OTP Reset password ไม่มีการจำกัดจำนวนครั้ง หรือ กำหนดเวลาให้มีการรอการขอในครั้งต่อไปภายในเวลาที่กำหนดไว้ และช่องโหว่นี้อาจจะไม่ก่อปัญหาเพียงแค่ว่าผู้ใช้งานสามารถสั่งให้ Web application ส่ง OTP ไปหาตัวเจ้าของ Account ที่มีการลืมและกดส่ง OTP ซ้ำ ๆ แต่เป็นช่องทางที่ทำให้ผู้ไม่หวังดีสามารถทำการ DoS สร้างความรำคาญหรือ Flood ข้อความ OTP ไปหาเหยื่อที่ต้องการโจมตีได้

image-20210401160835796

วิธีการป้องกัน

อ้างอิง

https://hackerone.com/reports/774050

https://hackerone.com/reports/751604