Alapfogalmak
정부 웹사이트의 등록 페이지에서 API 엔드포인트 추측으로 인한 이메일 인증 우회 취약점이 발견되었습니다.
Kivonat
이 블로그 게시물은 UK 정부 웹사이트의 등록 페이지에서 발견된 이메일 인증 우회 취약점에 대해 설명합니다.
- 필자는 하위 도메인 검색 및 Google Dorks를 통해 관심 있는 웹사이트를 찾았습니다.
- 등록 프로세스를 관찰하던 중 API 엔드포인트의 토큰이 추측 가능한 것을 발견했습니다.
- 이를 이용해 다른 계정(관리자 계정 포함)의 이메일 인증을 우회할 수 있었습니다.
- 이는 전체 등록 기능에 영향을 미치는 심각한 취약점으로, 필자는 이를 보고하고 해결을 기다리고 있습니다.
Statisztikák
계정 1의 SignupID: NHKS-001026912_075
계정 2의 SignupID: NHKS-001026913_075
관리자 계정의 SignupID: NHKS-001026914_075
Idézetek
"정부 웹사이트의 등록 페이지에서 API 엔드포인트 추측으로 인한 이메일 인증 우회 취약점이 발견되었습니다."
"이는 전체 등록 기능에 영향을 미치는 심각한 취약점으로, 필자는 이를 보고하고 해결을 기다리고 있습니다."