HackerOneのレポート読む①

とにかく今は経験を積みたいので、

何かしらの感覚掴むまで他人のレポートを毎日見ていきます。

 

 

基本的には最新のものから順に、

disclosedしたものを確認します。

 

 

本日は以下

https://hackerone.com/reports/774050

 

 

タイトルは

No rate limiting for confirmation email lead to email flooding

 

メールボックスをアクティベートする時の再送信ボタン、これに送信制限を設けていないという脆弱性です。

これも報告対象になるんですねー。

 

 

再現方法としては、

アクティベート再送時に送られるリクエストを保持、

何度も同一リクエストを送り続けるといった内容です。

 

 

たしかにメールボックスに山ほどメールが入ってるので、

これを利用すれば相手側のメールボックスを溢れさせることができそうです。

…あれ?でもこれ自身が困るだけじゃね?

 

 

という疑問を他所に、

100$の脆弱性として報告されて、修正されていました。

 

ちなみにcloseまで3週間弱かかってます。

何度も報告者側から確認のレスをなげてるので、

こういうリマインドも大事みたいです。

 

 

以上。