вертикальная эскалация idor
-
Статья IDOR эскалация привилегий: горизонтальная и вертикальная эксплуатация с обходом UUID
На последнем пентесте API финтех-сервиса одна подмена параметра account_id в запросе GET /api/v2/transactions раскрыла историю транзакций чужого счёта - с реквизитами карты и суммами переводов. Разработчики были уверены: UUID v4 - достаточная защита от перебора. UUID утёк через эндпоинт поиска...- Сергей Попов
- Тема
- bola уязвимость broken access control idor атака api idor эскалация привилегий owasp api security top 10 вертикальная эскалация idor горизонтальная эскалация привилегий обход uuid idor
- Ответы: 0
- Раздел: Арсенал специалиста по ИБ