保護されていないFirebaseデータベースから、5,000個のOAuthトークン、銀行口座リンク、取引履歴を盗みました。
攻撃者は認証情報や認可情報なしで数千のアカウントにアクセスできました。
APIエンドポイントは設定ミスで、攻撃者はデモの報酬として私に300ドルを支払いました。
注目すべき点:API侵害の多くは、アクセス制御の欠如(認証チェックの欠如)や過剰なデータ漏洩(ユーザーオブジェクト全体の返送)などのエラーが原因で発生します。
「7日目: APIハッキング – 5000個のOAuthトークンを盗んで300ドルを勝ち取った方法」 from infosecwriteups.com
security summary保護されていないFirebaseデータベースから、5,000個のOAuthトークン、銀行口座リンク、取引履歴を盗みました。
攻撃者は認証情報や認可情報なしで数千のアカウントにアクセスできました。
APIエンドポイントは設定ミスで、攻撃者はデモの報酬として私に300ドルを支払いました。
注目すべき点:API侵害の多くは、アクセス制御の欠如(認証チェックの欠如)や過剰なデータ漏洩(ユーザーオブジェクト全体の返送)などのエラーが原因で発生します。
コメント