アカウントの有無によるレスポンス時間の差の調査結果 #6124
Comments
|
以下、検討してみました。 A案:全体の処理時間を決め、レスポンスを同じ時間内に処理する(レスポンスの同時性確保)
B案:登録なしのメールアドレスの場合、ダミーのメールアドレスに実際にメール送信を行う
C案:メッセージキューを使用して非同期でメールを送信する
|
|
4.2からは新規会員登録画面・パスワード再発行画面にスロットリングを実装しており、リスクを低減できている状態となります。 また、会員の登録有無が特定される問題は、新規会員登録画面においても同様の事象があります。 ことから、本件は脆弱性としては扱わず、不具合として今後のバージョンで修正を実施できればと考えております。 是非、修正案についてご意見ください! |
|
脆弱性報告したものです。 他の画面にもあり、仕様として公開されていて、さらに上記案も難しいようなら、何もできることはなさそうな気もしますね... |
|
ちなみに、スロットリング(IPアドレスごとにレートリミット)は、大量のIPアドレスから試行する方法がありふれているので、なんらかのCAPTCHAを仕込むのがいいと思います |
|
@mipsparc |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
概要(Overview)
パスワード再発行画面において、アカウントが存在するかどうかによってレスポンス時間が変化するため、
レスポンス速度を確認することで、存在アカウントのチェックが可能です。
再現手順(Procedure)
・結果 (4.2.3で実施した、5回の平均値を記載)
・結論
登録があるユーザーとないユーザーでは実際にResponse時間に明確に差が生じている。
環境(Environment)
EC-CUBE : 4.0.0 ~ 4.2.3
EC-CUBE : 3.x
The text was updated successfully, but these errors were encountered: