From da7723f90680f841747c6fc94c002547f40077f4 Mon Sep 17 00:00:00 2001
From: joshuaruesweg <ruesweg@woltlab.com>
Date: Fri, 29 Jan 2021 15:49:26 +0100
Subject: [PATCH] Add LostPassword Flood Control

---
 com.woltlab.wcf/objectType.xml                      |  4 ++++
 .../files/lib/form/LostPasswordForm.class.php       | 13 +++++++++++++
 wcfsetup/install/lang/de.xml                        |  1 +
 wcfsetup/install/lang/en.xml                        |  1 +
 4 files changed, 19 insertions(+)

diff --git a/com.woltlab.wcf/objectType.xml b/com.woltlab.wcf/objectType.xml
index 59bb5ad52c..b61de04c9d 100644
--- a/com.woltlab.wcf/objectType.xml
+++ b/com.woltlab.wcf/objectType.xml
@@ -1774,6 +1774,10 @@
 			<definitionname>com.woltlab.wcf.floodControl</definitionname>
 		</type>
 		<!-- /multi factor -->
+		<type>
+			<name>com.woltlab.wcf.lostPasswordForm</name>
+			<definitionname>com.woltlab.wcf.floodControl</definitionname>
+		</type>
 		<!-- deprecated -->
 		<type>
 			<name>com.woltlab.wcf.page.controller</name>
diff --git a/wcfsetup/install/files/lib/form/LostPasswordForm.class.php b/wcfsetup/install/files/lib/form/LostPasswordForm.class.php
index 6dc5b3970a..92d9de2b06 100644
--- a/wcfsetup/install/files/lib/form/LostPasswordForm.class.php
+++ b/wcfsetup/install/files/lib/form/LostPasswordForm.class.php
@@ -11,6 +11,7 @@ use wcf\system\email\mime\RecipientAwareTextMimePart;
 use wcf\system\email\UserMailbox;
 use wcf\system\exception\NamedUserException;
 use wcf\system\exception\UserInputException;
+use wcf\system\flood\FloodControl;
 use wcf\system\request\LinkHandler;
 use wcf\system\WCF;
 use wcf\util\HeaderUtil;
@@ -28,6 +29,8 @@ class LostPasswordForm extends AbstractCaptchaForm
 {
     const AVAILABLE_DURING_OFFLINE_MODE = true;
 
+    private const ALLOWED_RESETS_PER_24H = 5;
+
     /**
      * username
      * @var string
@@ -73,6 +76,14 @@ class LostPasswordForm extends AbstractCaptchaForm
     {
         parent::validate();
 
+        $requests = FloodControl::getInstance()->countContent(
+            'com.woltlab.wcf.lostPasswordForm',
+            new \DateInterval('PT24H')
+        );
+        if ($requests['count'] >= self::ALLOWED_RESETS_PER_24H) {
+            throw new NamedUserException(WCF::getLanguage()->getDynamicVariable('wcf.user.lostPassword.error.flood'));
+        }
+
         if (empty($this->username) && empty($this->email)) {
             throw new UserInputException('username');
         }
@@ -148,6 +159,8 @@ class LostPasswordForm extends AbstractCaptchaForm
 
         $this->saved();
 
+        FloodControl::getInstance()->registerContent('com.woltlab.wcf.lostPasswordForm');
+
         // forward to index page
         HeaderUtil::delayedRedirect(
             LinkHandler::getInstance()->getLink(),
diff --git a/wcfsetup/install/lang/de.xml b/wcfsetup/install/lang/de.xml
index 22b33d90fd..21822d748e 100644
--- a/wcfsetup/install/lang/de.xml
+++ b/wcfsetup/install/lang/de.xml
@@ -4600,6 +4600,7 @@ Dateianhänge:
 		<item name="wcf.user.lostPassword.description"><![CDATA[{if LANGUAGE_USE_INFORMAL_VARIANT}Wenn du dein Kennwort vergessen hast, musst du entweder den Benutzernamen oder die E-Mail-Adresse angeben, die du in deinem Profil hinterlegt hast. Du kannst dabei nur eines der beiden Felder ausfüllen. Wenn du beide Daten nicht mehr weißt, wende dich bitte an den Administrator.{else}Wenn Sie Ihr Kennwort vergessen haben, müssen Sie entweder den Benutzernamen oder die E-Mail-Adresse angeben, die Sie in Ihrem Profil hinterlegt haben. Sie können dabei nur eines der beiden Felder ausfüllen. Wenn Sie beide Daten nicht mehr wissen, wenden Sie sich bitte an den Administrator.{/if}]]></item>
 		<item name="wcf.user.lostPassword.email.error.notFound"><![CDATA[Es wurde kein Benutzer mit der E-Mail-Adresse: „{$email}“ gefunden.]]></item>
 		<item name="wcf.user.lostPassword.error.tooManyRequests"><![CDATA[Das Kennwort für dieses Benutzerkonto wurde in den letzten 24 Stunden bereits einmal angefordert. Aus Sicherheitsgründen kann das Kennwort eines Benutzers nur einmal pro Tag angefordert werden. {if LANGUAGE_USE_INFORMAL_VARIANT}Du kannst{else}Sie können{/if} das Kennwort für dieses Benutzerkonto in {#$hours} Stunde{if $hours != 1}n{/if} erneut anfordern.]]></item>
+		<item name="wcf.user.lostPassword.error.flood"><![CDATA[{if LANGUAGE_USE_INFORMAL_VARIANT}Du hast{else}Sie haben{/if} zu viele neue Kennwörter angefordert. Die Funktion wurde daher aus Sicherheitsgründen temporär deaktiviert. Bitte {if LANGUAGE_USE_INFORMAL_VARIANT}versuche{else}versuchen Sie{/if} es später erneut.]]></item>
 		<item name="wcf.user.lostPassword.mail.subject"><![CDATA[Kennwort vergessen auf der Website: {@PAGE_TITLE|language}]]></item>
 		<item name="wcf.user.lostPassword.mail.plaintext"><![CDATA[Hallo {@$mailbox->getUser()->username},
 
diff --git a/wcfsetup/install/lang/en.xml b/wcfsetup/install/lang/en.xml
index 54042797df..963b8377fe 100644
--- a/wcfsetup/install/lang/en.xml
+++ b/wcfsetup/install/lang/en.xml
@@ -4601,6 +4601,7 @@ Attachments:
 		<item name="wcf.user.lostPassword.description"><![CDATA[You must provide your username or email address to request a new password. Contact the site’s administrator if you need assistance.]]></item>
 		<item name="wcf.user.lostPassword.email.error.notFound"><![CDATA[“{$email}” is not used by any account.]]></item>
 		<item name="wcf.user.lostPassword.error.tooManyRequests"><![CDATA[The password has been requested at least once in the past 24 hours. For security reasons you must wait at least {#$hours} hour{if $hours != 1}s{/if} before requesting it again.]]></item>
+		<item name="wcf.user.lostPassword.error.flood"><![CDATA[You have requested too many passwords. The function has therefore been temporarily deactivated for security reasons. Please try again later.]]></item>
 		<item name="wcf.user.lostPassword.mail.subject"><![CDATA[Lost Password for Website: {@PAGE_TITLE|language}]]></item>
 		<item name="wcf.user.lostPassword.mail.plaintext"><![CDATA[Dear {@$mailbox->getUser()->username},
 
-- 
2.20.1