Уязвимы ли QR для заказов в кафе?

[taksitaksilno]

Сейчас есть заведения, где за каждым столом закреплен код для вызова официанта. Как понять уязвим ли вызов по QR? Насколько я понимаю задействован API. Про какие техники поизучать, если очевидного ответа нет?





-----------------------------

 

[Pernat1y]

QR что делает? Открывает линк в браузере или приложении? Поймай запрос и копай в этом направлении.

 

[taksitaksilno]

QR что делает? Открывает линк в браузере или приложении? Поймай запрос и копай в этом направлении.

QR открывает ссылку в браузере, но вызов наверно к API идет, просто интересно какой параметр отвечает за многоразовый вызов API например

 

[Pernat1y]

Ещё раз. Лови запросы и там уже смотри, что и куда отправляется.

 

[taksitaksilno]

Ещё раз. Лови запросы и там уже смотри, что и куда отправляется.

Я пока не смотрел, но в самом url, по которому открывается кнопка с вызовом, если поменять цифру в конце на рандомную и предположить, что это номер столика, если мне память не изменяет, то сервис открывается даже при четырехзначных значениях. Столько столиков в одном заведении быть не может, а если брать филиалы в сумме, то это бред присваивать такие номера. Собственно вопрос в том, есть ли здесь намек на IDOR или уязвимости нет?