[Перевод] Кража персональных данных пользователя (PII) с помощью вызова API напрямую

Сегодня решили обсудить тему информационной безопасности. Публикуем перевод статьи Kunal pandey, обнаруживаем уязвимости и работаем на опережение!

Введение

Кража персональных данных (PII) пользователя стала для нас обыденным явлением. Злоумышленники находят множество способов получить персональные данные, например, используя XSS- и IDOR-уязвимости, раскрытие конечных точек API (API endpoint) и другое.

Сценарий, который описан в этой статье, мы можем протестировать, просто наблюдая за поведением конечной точки API. В приведенном ниже примере, вызвав API, персональные данные любого пользователя могут быть сохранены в других конечных точках API.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Почему «витрина достижений» информационной безопасности работает далеко не везде
• ИИ Агенты как новая киберугроза: бизнесы теряют деньги и данные, не понимая почему
• Архитектура PERA для построения промышленной сети
• Telegram Web съел 30% моего 16-ядерного процессора. Расследование странного поведения, или Призрак майнера в браузере
• Настройка межсетевого SSH-доступа в многосегментной сети Cisco и MikroTik в среде GNS3
• Рост продаж на маркетплейсах без демпинга: возможен или нет
• Vitamin.tools: Как быстро и эффективно находить сотрудников или собрать пожертвования через VK Ads: два кейса от клиента Vitamin.tools
• Лебедев Денис: Боты статистики в Telegram: что они умеют, кому подходят
• От BlueBorne до LE Secure: как Bluetooth выжил после самых громких дыр
• Ты не покупатель. Ты — герой мифа