owasp api security top 10
-
Статья Защита API от BOLA и IDOR: паттерны авторизации, policy-as-code и чеклист для разработчика
Атакующий подставил чужой идентификатор в запрос, сервер вернул данные. Без эксплойта, без обхода WAF - просто GET /api/orders/1254 с чужим ID. По данным Snyk, это классический сценарий Broken Object Level Authorization, уязвимости номер один в OWASP API Security Top 10. Масштаб последствий -...- Сергей Попов
- Тема
- api security checklist разработчик attribute-based access control api opa open policy agent owasp api security top 10 policy-as-code авторизация api авторизация api паттерны защита api от bola и idor
- Ответы: 0
- Раздел: Безопасность веб-приложений
-
Статья Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Четверг, 14:30. На пентесте интернет-банка - 800 тысяч клиентов-физлиц, Java-бэкенд с REST API - перехватываем запрос к GET /api/v2/accounts/{id}/statements и подменяем идентификатор счёта. В ответ приходит полная выписка чужого клиента: ФИО, номера счетов, суммы последних 50 операций...- Сергей Попов
- Тема
- detection soc финтех owasp api security top 10 pci dss пентест безопасность api платёжных систем пентест банковских приложений пентест мобильного банка тестирование на проникновение дбо уязвимости банковских приложений
- Ответы: 0
- Раздел: Безопасность веб-приложений