redacted.com のテスト中に、必要な認証 (緯度/経度) なしでデバイスのステータスと正確な GPS 位置情報を漏洩するパブリック API エンドポイントを発見しました。
この脆弱性は、政治家、実業家、VIP、その他の著名な個人を標的として、車両の詳細にアクセスすることによって個人を標的にする可能性があります。
特に注目すべき点は、攻撃者がリアルタイムで車両情報を使用して個人をターゲットにする可能性があることです。
これにより、リアルタイムでデバイスを追跡できるようになります。
部分的な IDOR から GPS 追跡まで — API の欠陥について説明 from infosecwriteups.com
security summaryredacted.com のテスト中に、必要な認証 (緯度/経度) なしでデバイスのステータスと正確な GPS 位置情報を漏洩するパブリック API エンドポイントを発見しました。
この脆弱性は、政治家、実業家、VIP、その他の著名な個人を標的として、車両の詳細にアクセスすることによって個人を標的にする可能性があります。
特に注目すべき点は、攻撃者がリアルタイムで車両情報を使用して個人をターゲットにする可能性があることです。
これにより、リアルタイムでデバイスを追跡できるようになります。
コメント