[Перевод] IDOR & UUIDs для утечки PII
Введение
Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII.
Что такое IDOR
Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем.
Что такое PII
Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее).
Теперь перейдем к делу
Читать далееИсточник: Хабрахабр
Похожие новости
- [Перевод] Localhost-атака: как Meta и Яндекс отслеживали пользователей Android через localhost
- Рейтинг Рунета выпустил 34 рейтинга digital-подрядчиков
- Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
- Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
- Один на один с Rust
- Крах Builder.ai: как «революционный ИИ-стартап» оказался скамом из сотен программистов из Индии
- Compass Мессенджер: История Питера Тиля: путь от адвоката до сооснователя PayPal и инвестора, который заработал $1 млрд на Facebook*
- Как торговые сети ищут людей на смены через цифровые платформы и сколько им платят
- Управление уязвимостями: практический гайд по защите инфраструктуры
- Trust & Safety AI Meetup — как это было?