HACKPROGLIB Telegram 4636
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4636
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
👤 Кейс с IDOR в API

Во время Bug Bounty исследователь наткнулся на подозрительный эндпоинт:

/api/user/{id}/profile

Подмена id — и чужой профиль открывается без всякой авторизации.

Дальше — по учебнику:

скрипт для перебора ID
📥 массовая выгрузка адресов, телефонов и почт
🎣 фишинг по этим email и новые компрометации

➡️ Тысячи утекших аккаунтов, репутационный урон и срочная «заплатка».

Почему так случилось:

— никакой проверки владельца ресурса
— предсказуемые ID
— отсутствие защиты от перебора

После инцидента сервис внедрил owner-check, UUID, rate limiting и добавил тесты безопасности в CI.

💡 Даже «невинный» эндпоинт без авторизации может превратиться в точку входа для масштабной атаки.

🐸 Библиотека хакера

#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
5🔥2
www.tgoop.com/hackproglib/4636
1.06K views



tgoop.com/hackproglib/4636
Create:
Last Update:

👤 Кейс с IDOR в API

Во время Bug Bounty исследователь наткнулся на подозрительный эндпоинт:

/api/user/{id}/profile

Подмена id — и чужой профиль открывается без всякой авторизации.

Дальше — по учебнику:

скрипт для перебора ID
📥 массовая выгрузка адресов, телефонов и почт
🎣 фишинг по этим email и новые компрометации

➡️ Тысячи утекших аккаунтов, репутационный урон и срочная «заплатка».

Почему так случилось:

— никакой проверки владельца ресурса
— предсказуемые ID
— отсутствие защиты от перебора

После инцидента сервис внедрил owner-check, UUID, rate limiting и добавил тесты безопасности в CI.

💡 Даже «невинный» эндпоинт без авторизации может превратиться в точку входа для масштабной атаки.

🐸 Библиотека хакера

#breach_breakdown

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4636

View MORE
Open in Telegram


Telegram News

Date: |

Telegram Android app: Open the chats list, click the menu icon and select “New Channel.” The visual aspect of channels is very critical. In fact, design is the first thing that a potential subscriber pays attention to, even though unconsciously. Write your hashtags in the language of your target audience. A few years ago, you had to use a special bot to run a poll on Telegram. Now you can easily do that yourself in two clicks. Hit the Menu icon and select “Create Poll.” Write your question and add up to 10 options. Running polls is a powerful strategy for getting feedback from your audience. If you’re considering the possibility of modifying your channel in any way, be sure to ask your subscribers’ opinions first. 6How to manage your Telegram channel?
from us


👤 Кейс с IDOR в API

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4636
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American