bypass 429 "to many requests" при добавлении компаний

Где обнаружено

Описание уязвимости

При множественных запросах с добавлением/регистрацией ИНН приложение выдает 429 код, как новому пользователю, так и старому.


До добавления:
Однако это можно обойти добавлением "company_documents" и подставлением ИНН компании
POST запрос на /api/users/8926473/company_documents

Добавлять можно сколько угодно, не зарегистрированных на ресурсе, компаний.
 

Шаги воспроизведения

  1. Отловить POST запрос на добавление документов
  2. Изменить ИНН в запросе
  3. Отправить запрос

Влияние на безопасность

  1. bypass 429
  2. Нет никакой проверки, что компания принадлежит человеку/организации, которая ее регистрирует.
    То есть по сути, можно зарегистрировать все компании, которые по тем или иным причинам на данный момент не пользуются Купером для бизнеса. Что в целом усложняет жизнь компаниям, которые бы хотели(или захотят) зарегистрироваться:
    Тем самым бьет по репутации компании Купера и может принести финансовый ущерб Куперу.
    Потому как, если кто-то уже зарегистрировал твою компанию, то только в этом случае тебе нужно предоставить какие-либо доказательства:
В дополнении от лица Купера можно отправлять счета на оплату на email той или иной компании в надежде на невнимательность
Аккаунт для проверка зарегистрирован по номеру 89170199085. Просьба удалить аккаунт и добавленные компании после проверки, чтобы никому не мешать.
Reward
₽10,000
Kuper
Купер
Report No.: 8961
Created: January 7, 11:56
Disclosed: June 27, 07:27
Status: Accepted
Type: Vulnerability
Severity:
Medium
Author:_.-._

Files

image-2.png
image-4.png
image-5.png
image-6.png
Comments
By
vonigol
January 9, 08:56
By
vonigol
January 9, 08:56
By
_.-._
January 9, 09:52
By
_.-._
January 9, 09:56
By
vonigol
January 9, 10:31
By
_.-._
January 9, 10:37
By
_.-._
January 16, 09:22
By
_.-._
February 28, 11:20
By
_.-._
June 27, 06:36