[Writeup][Bug Bounty][Redacted] No Rate Limit in Forgot Password [ID]

- 1 min

Intro

No Rate Limit adalah sebuah kondisi di mana sebuah aplikasi tidak memiliki pembatasan terhadap request yang sama. Jadi seseorang dapat mengirimkan request sama yang berulang-ulang.


Affected Endpoint

https://[redacted]/api/internal/auth/reset_password_email


Impact

Karena service yang tidak memiliki rate limit berhubungan dengan layanan email, maka seseorang dapat membuat service ini mengirimkan email reset password secara masif. Hal ini dapat membuat reputasi pengirim email menjadi buruk dan dinilai sebagai spammer oleh Email Provider seperti Gmail.


Steps to Reproduce


Timeline

Muhammad Thomas Fadhila Yahya

Muhammad Thomas Fadhila Yahya

A man who believes in Hogwarts and Wakanda

comments powered by Disqus
rss facebook twitter github gitlab youtube mail spotify lastfm instagram linkedin google google-plus pinterest medium vimeo stackoverflow reddit quora quora