MyTube में साझा लॉगिन प्रयास स्थिति के माध्यम से अप्रमाणित खाता लॉकआउट है

MyTube कई वीडियो वेबसाइटों के लिए एक स्व-होस्टेड डाउनलोडर और प्लेयर है। संस्करण 1.8.72 से पहले, एक अप्रमाणित हमलावर विफल लॉगिन प्रयासों को ट्रिगर करके पासवर्ड-आधारित प्रमाणीकरण से व्यवस्थापक और आगंतुक खातों को लॉक कर सकता है। एप्लिकेशन तीन पासवर्ड सत्यापन एंडपॉइंट (endpoint) को उजागर करता है, जो सभी सार्वजनिक रूप से सुलभ हैं। तीनों एंडपॉइंट (endpoint) `login-attempts.json` में संग्रहीत एक एकल फ़ाइल-समर्थित लॉगिन प्रयास स्थिति साझा करते हैं। जब कोई भी एंडपॉइंट (endpoint) `recordFailedAttempt()` के माध्यम से एक विफल प्रमाणीकरण प्रयास रिकॉर्ड करता है, तो साझा लॉगिन प्रयास स्थिति अपडेट (update) हो जाती है, जिससे `failedAttempts` काउंटर बढ़ जाता है और संबंधित टाइमस्टैम्प (timestamp) और कूलडाउन (cooldown) मान समायोजित हो जाते हैं। पासवर्ड सत्यापित करने से पहले, प्रत्येक एंडपॉइंट (endpoint) `canAttemptLogin()` को कॉल करता है। यह फ़ंक्शन यह निर्धारित करने के लिए साझा JSON फ़ाइल की जाँच करता है कि कूलडाउन (cooldown) अवधि सक्रिय है या नहीं। यदि कूलडाउन (cooldown) समाप्त नहीं हुआ है, तो पासवर्ड मान्य होने से पहले अनुरोध अस्वीकार कर दिया जाता है। क्योंकि विफल प्रयास काउंटर और कूलडाउन (cooldown) टाइमर वैश्विक रूप से साझा किए जाते हैं, इसलिए किसी भी एंडपॉइंट (endpoint) के विरुद्ध विफल प्रमाणीकरण प्रयास अन्य सभी एंडपॉइंट (endpoint) को प्रभावित करते हैं। एक हमलावर किसी भी एंडपॉइंट (endpoint) पर बार-बार अमान्य प्रमाणीकरण अनुरोध भेजकर इसका फायदा उठा सकता है, incr