No Rate Limit on Login

Kerentanan ini terjadi ketika aplikasi tidak membatasi jumlah upaya login yang gagal dari satu pengguna atau alamat IP dalam jangka waktu tertentu. Hal ini memungkinkan penyerang untuk mencoba kombinasi kata sandi tanpa batas hingga berhasil. Dampak dari serangan ini yaitu penyerang dapat dengan mudah masuk ke akun pengguna setelah berhasil menebak kata sandi. Dan jika penyerang mengirimkan terlalu banyak permintaan dalam waktu singkat, server bisa kewalahan dan menyebabkan layanan menjadi lambat atau tidak dapat diakses bagi pengguna lain.

Akses halaman login pada aplikasi target.

Inputkan kredensial yang tidak valid, lalu intercept request tersebut menggunakan burp suite intercept. Jika sudah, kirim request yang telah diintercept tersebut ke burp suite intruder. Selanjutnya atur payload untuk melakukan brute force kredensial agar dapat mendapatkan kombinasi kredensial yang valid. Terlihat pada gambar dibawah ini, setelah request ke 101 masih dapat mengirim request sehingga pada request ke 101 berhasil mendapatkan kombinasi kredensial yang valid.

Thanks, Stay Ethical & Happy Hacking! 🍻