출처 : https://ahmdhalabi.medium.com/chaining-multiple-requests-to-achieve-rate-limiting-vulnerabilities-96c1e8365c06
해당 글은 버그바운티 결과물을 번역 및 수정한 게시물입니다.

이번 글은 Rate Limiting Vulnerablity 기술로 속도 제한이 걸린 것을 우회하여 공격하는 것을 지칭하는 듯 하다.
이 글을 쓴 작성자는 이 공격을 통해 collaborator 메세지를 한번 밖에 보내지 못하는 것을 우회하여 타겟에게 계속해서 메일을 보내어 상대방 메일함을 테러하는 공격을 선보인다.
이 취약점을 해커원에 제보하여 1000달러의 포상을 받았다고 한다.

많은 기업과 프로그램들은 rate limiting protection을 인증 및 중요한 로그인과 포스트 생성같은 기능을 통해 엔드포인트에서 방어를 수행중에 있다고 한다. 보호기법은 매우 많고 다양한 방법과 타입으로 막기 때문에 우회방법 또한 존재한다고 한다.

프로그램은 대부분 당신이 collaborator를 당신의 프로젝트로 추가하기 위한 페이지안에 있는 알고리즘이 존재한다고 한다. 당신이 collaborator를 추가하면 알림은 추가될 collaborator에게 email로 전송된다. 당신은 만약 당신이 collaborator에서 초대장을 보낸 사람을 지우고 다시 초대하지 않는 이상 한번만 초대가 가능하다고 한다.

작성자(Ahmad Halabi/ 앞으로 하라비로 쓰겠다)는 위와 같은 특징을 통해서 add_collaborator, nomal request, remove_collaborater 이 세개의 requests 체인을 통해 버그를 발견했다고 한다. 하라비는 타겟에게 시간제한 없이 아래와 같은 스텝으로 메일을 보낼수 있는 매크로를 burp안에서 쓸수있게 만들었다고 한다. 여기서 burp는 burp suite 말하는듯.

스텝

  • collaborator 추가 요청을 수행한다.
  • target.com으로 정상요청을 보낸다.
  • collaborator 제거 요청을 수행한다.

이거 세개를 반복해서 하면 메일 폭탄이 간다고 한다.

재현 단계

그냥 독자가 collaborator 추가하고 지우고 다시하고 지우면 독자 메일로 2개의 알림이 메일박스에 저장된 것을 확인할 수 있답니다.
더 심화적으로 하려면 script를 짜서 자동으로 하면되고 아니면 burp를 사용하여 해도 된다고 합니다. 자기는(하리비) burp Macro를 사용했다고 합니다.

  • 버프수트 프록시 키고 collaborator 추가 및 삭제를 진행하고 해보는 사람 계정으로 간다.
  • 버프수트에서 Project Option -> Under Session Handling Rules 클릭 -> Add -> In Rule Actions 크릭해서 Run a Macro를 선택
  • Under Select Macro 클릭 -> Add -> Burp requests history가 열릴거고 3 requests를 순서대로 선택 : Add collaborator - request to profile account - remove colaborator. Ok클릭하고 매크로 테스트하고 메일박스에 알림이 왔는지 보면된다.

이렇게 되면 많은 알림을 보낼수 있다.

이렇게...

타격

이 공격으로 타겟의 메일링 시스템을 엄청난 수의 초대로 날려버린답니다.

취약점 원인

공동 작업 초대에 대해서 속도제한을 걸기위해서 3가지 requests를 연결하여 보지 않아서

취약점 보호방법

Add collaborator 및 Remove Collaborator requests에 limit protection을 적용시킨다.

하리비(작성자)의 교훈

보호수단에 의존하지 말고 속도제한을 걸수있는 보호방법을 강구해야한다. 왜냐하면 다양한 요청들은 chaining해서 공격받을 수 있기 때문 이랍니다.

하리비의 게시물을 읽지 않은 사람은 여기 링크로 들어가서 자기가 어떻게 버그헌팅 시작했고 뭐 하는 그런거 읽어보러 오라는 데 상도덕으로 올립니다.
https://ahmdhalabi.medium.com/my-bug-bounty-journey-ranking-1st-in-u-s-dod-achieving-top-100-hackers-in-1-year-f208c10144fc

+ Recent posts