bypass 429 "to many requests" при добавлении компаний
Где обнаружено
Описание уязвимости
При множественных запросах с добавлением/регистрацией ИНН приложение выдает 429 код, как новому пользователю, так и старому.
До добавления:
До добавления:
Однако это можно обойти добавлением "company_documents" и подставлением ИНН компании
POST запрос на /api/users/8926473/company_documents
POST запрос на /api/users/8926473/company_documents
Добавлять можно сколько угодно, не зарегистрированных на ресурсе, компаний.
Шаги воспроизведения
- Отловить POST запрос на добавление документов
- Изменить ИНН в запросе
- Отправить запрос
Влияние на безопасность
- bypass 429
- Нет никакой проверки, что компания принадлежит человеку/организации, которая ее регистрирует.
То есть по сути, можно зарегистрировать все компании, которые по тем или иным причинам на данный момент не пользуются Купером для бизнеса. Что в целом усложняет жизнь компаниям, которые бы хотели(или захотят) зарегистрироваться:
Тем самым бьет по репутации компании Купера и может принести финансовый ущерб Куперу.
Потому как, если кто-то уже зарегистрировал твою компанию, то только в этом случае тебе нужно предоставить какие-либо доказательства:
Аккаунт для проверка зарегистрирован по номеру 89170199085. Просьба удалить аккаунт и добавленные компании после проверки, чтобы никому не мешать.
Reward
₽10,000
Kuper
Купер
Report No.: 8961
Created: January 7, 11:56
Disclosed: June 27, 07:27
Status: Accepted
Type: Vulnerability
Severity:
Medium
Author:_.-._
Files
image-2.png
image-4.png
image-5.png
image-6.png
Comments
By
vonigol
January 9, 08:56
By
vonigol
January 9, 08:56
By
_.-._
January 9, 09:52
By
_.-._
January 9, 09:56
By
vonigol
January 9, 10:31
By
_.-._
January 9, 10:37
By
_.-._
January 16, 09:22
By
_.-._
February 28, 11:20
By
_.-._
June 27, 06:36