🤔 Почему охота за багами — это смесь как технических навыков, так и упорства с любопытством? Простой и очень наглядный пример👇

Исследователь делится историей простого бага, который другие пропустили.

Вот как работало приложение:
1️⃣ Пользователи входили в систему, используя адрес электронной почты.
2️⃣ На их почту отправлялся одноразовый 6-значный код (OTP).
3️⃣ Этот код вводился для доступа к аккаунту — никаких паролей.

Но если вы попробуете перебрать OTP (это ~200k запросов и 2 часа времени), то среди массы ответов 401 увидите код состояния 200 OK.

🤫 Вот почему большинство багхантеров пропускают такие уязвимости (по мнению автора):
🟠Они видят ответы 401 Unauthorized или 429 и предполагают, что система реализовала эффективное ограничение частоты запросов. Если дать запросу дойти до верного OTP, станет понятно, как система на это отреагирует.
🟠Они останавливают Intruder до завершения списка.
🟠Им не хватает терпения, чтобы дождаться завершения грубого перебора.

#bugbounty #tips