• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Уязвимы ли QR для заказов в кафе?

taksitaksilno

Green Team
21.02.2019
62
9
BIT
0
Сейчас есть заведения, где за каждым столом закреплен код для вызова официанта. Как понять уязвим ли вызов по QR? Насколько я понимаю задействован API. Про какие техники поизучать, если очевидного ответа нет?





-----------------------------
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
QR что делает? Открывает линк в браузере или приложении? Поймай запрос и копай в этом направлении.
 

taksitaksilno

Green Team
21.02.2019
62
9
BIT
0
QR что делает? Открывает линк в браузере или приложении? Поймай запрос и копай в этом направлении.
QR открывает ссылку в браузере, но вызов наверно к API идет, просто интересно какой параметр отвечает за многоразовый вызов API например
 

taksitaksilno

Green Team
21.02.2019
62
9
BIT
0
Ещё раз. Лови запросы и там уже смотри, что и куда отправляется.
Я пока не смотрел, но в самом url, по которому открывается кнопка с вызовом, если поменять цифру в конце на рандомную и предположить, что это номер столика, если мне память не изменяет, то сервис открывается даже при четырехзначных значениях. Столько столиков в одном заведении быть не может, а если брать филиалы в сумме, то это бред присваивать такие номера. Собственно вопрос в том, есть ли здесь намек на IDOR или уязвимости нет?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!