VULNERABILITY REPORT

No Rate Limit At Password reset link (severity low)

Penjelasan :
No Rate Limit adalah suatu celah yang dimanfaatkan
untuk melakukan request berulang kali tanpa ada batasan dari
aplikasi atau lebih tepatnya Attacker dapat mengulangi request
tersebut secara berulang tanpa ada batasan

POC (harap menggunakan burpsuite atau sandroproxy) :

1. Pergi ke https://itbox.id/my-account/lost-password/

2. Masukan email lalu minta request ke

burpsuite/sandroproxy

3. Kirim Request nya ke intruder dan ulangi 100x

4. Kita akan mendapatkan respon 200 ok + 100 email link

reset dalam 1 menit
POC VIDEO : https://youtu.be/7qedNVR75FU

Dampak :

-Jika ITbox Menggunakan Software API Email Apa Pun Atau

Beberapa Tools Yang Menggunakan Biaya untuk Email Anda,
Jenis Serangan Ini Dapat Menyebabkan Kerugian Finansial
Dan Juga Dapat Memperlambat Layanan Anda, Karna
Serangan ini Dapat Mengambil Sebagian Besar
Penyimpanan

-Dapat melakukan spam link reset password ratusan dalam

beberapa detik

Mitigasi :

Gunakan Captcha saat ingin reset password, atau apapun

untuk Verifikasi user

Reference:
https://hackerone.com/reports/751604
https://hackerone.com/reports/1166066
https://hackerone.com/reports/280534
dan saya melihat jika user mengubah email A menjadi email
B, maka langsung terUbah tanpa adanya verifikasi OTP,
saran saya seharusnya sebelum user menyimpan email nya
ke email baru, harus ada verifikasi OTP untuk memastikan
bahwa email baru adalah benar email user

terimakasih
-Ferdi