Business Logic Flaw Allows Attackers to Block User Registrations via Email Invite Manipulation

zeeagilzeeagil
1 min read

Penjelasan Singkat: Celah ini terjadi karena masalah pada penanganan database yang tidak tepat. Ketika undangan email dihapus, email tetap tersimpan dan dianggap “sudah terpakai”, meskipun target belum mendaftar. Hal ini menyebabkan pengguna baru tidak bisa mendaftar dengan email yang sama.

Cara Serangan:

  1. Penyerang mengundang email target.

  2. Penyerang menghapus undangan sebelum target mendaftar.

  3. Target mencoba mendaftar, tapi sistem menolak karena email sudah terpakai.

Kenapa Terjadi? Ini terjadi karena email yang sudah diundang tetap disimpan dalam database dan dianggap “terpakai” meski undangannya sudah dibatalkan.

0
Subscribe to my newsletter

Read articles from zeeagil directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

zeeagil
zeeagil

Hi, I’m a bug bounty hunter and cybersecurity enthusiast who began my journey in 2023. I enjoy exploring and discovering hidden vulnerabilities in browsers, applications, and various platforms—especially those that are rarely examined by others. My focus is on browser and website security issues. I also share my findings and educational content through my YouTube channel, Lazy Cyber Security.