bypass 429 "to many requests" при добавлении компаний
Где обнаружено
Описание уязвимости
При множественных запросах с добавлением/регистрацией ИНН приложение выдает 429 код, как новому пользователю, так и старому.
До добавления:
До добавления:
Однако это можно обойти добавлением "company_documents" и подставлением ИНН компании
POST запрос на /api/users/8926473/company_documents
POST запрос на /api/users/8926473/company_documents
Добавлять можно сколько угодно, не зарегистрированных на ресурсе, компаний.
Шаги воспроизведения
- Отловить POST запрос на добавление документов
- Изменить ИНН в запросе
- Отправить запрос
Влияние на безопасность
- bypass 429
- Нет никакой проверки, что компания принадлежит человеку/организации, которая ее регистрирует.
То есть по сути, можно зарегистрировать все компании, которые по тем или иным причинам на данный момент не пользуются Купером для бизнеса. Что в целом усложняет жизнь компаниям, которые бы хотели(или захотят) зарегистрироваться:
Тем самым бьет по репутации компании Купера и может принести финансовый ущерб Куперу.
Потому как, если кто-то уже зарегистрировал твою компанию, то только в этом случае тебе нужно предоставить какие-либо доказательства:
Аккаунт для проверка зарегистрирован по номеру 89170199085. Просьба удалить аккаунт и добавленные компании после проверки, чтобы никому не мешать.
Reward
₽10,000
Kuper
Купер
Report No.: 8961
Created: January 7, 2025, 11:56
Disclosed: June 27, 2025, 07:27
Status: Accepted
Type: Vulnerability
Severity:
Medium
Author:_.-._
Files
image-2.png
image-4.png
image-5.png
image-6.png
Comments
By
vonigol
January 9, 2025
By
vonigol
January 9, 2025
By
_.-._
January 9, 2025
By
_.-._
January 9, 2025
By
vonigol
January 9, 2025
By
_.-._
January 9, 2025
By
_.-._
January 16, 2025
By
_.-._
February 28, 2025
By
_.-._
June 27, 2025