Hspace bug bounty

Broken Access Control Allows Unauthenticated Viewing of Ongoing CTF Challenges

위험도

Low

CWE

CWE-284: Improper Access Control

요약

진행 중인 CTF의 모든 문제의 상세 페이지가 인증 없이 접근 가능합니다.

원래는 로그인한 사용자만 조회할 수 있어야 하는 문제 페이지에 대해, 비로그인 상태에서도 직접 URL로 접속하면 페이지가 정상적으로 표시됩니다.

이는 보호되어야 할 리소스에 대해 서버 측 인증 또는 접근통제가 제대로 적용되지 않았음을 의미합니다.

재현절차

1. 서비스에서 로그아웃한 뒤에 브라우저 창을 연다.
2. 아래의 URL에 접속한다.

https://forge.hspace.io/competitions/6968f48ca5fafe1d7938b68e/challenges/6968f569a5fafe1d7938b821

1. 로그인하지 않았음에도 불구하고 진행 중인 CTF 문제 페이지가 정상적으로 조회되는 것을 확인합니다.
2. 원래 기대 동작은 로그인 페이지로 리다이렉트 되거나, 접근 불가 메시지가 반환 되어야 합니다.

영향도

이 취약점으로 인해 인증되지 않은 사용자가 원래 로그인한 참가자에게만 제공되어야 하는 문제 정보를 열람할 수 있습니다.

노출 범위에 따라 다음과 같은 영향이 발생할 수 있습니다.

• 진행 중인 문제 설명의 무단 열람
• 첨부파일, 힌트 등 문제 관련 정보 노출
• 대회의 공정성 및 무결성 저하

비록 계정 탈취나 직접적인 서버 장악으로 이어지는 유형은 아니더라도, 보호 대상 콘텐츠가 인증 없이 노출된다는 점에서 명확한 접근통제 취약점에 해당합니다.

한계

문제 페이지에 접근은 되지만 플래그 인증은 되지 않습니다.