.jsファイルは、「バグ報奨金プログラム」に参加しているドメインに直接ホストされていました。
キーはクライアントサイドのJavaScriptコードで公開されており、データの改ざんやアカウントの不正利用(場合によってはアカウントの不正利用)につながる可能性がありました。
また、sudo、git、smh.nlなどのコマンドラインツールを使ったスクリプトクローラーによってクロールされた公開JavaScriptコードでも公開されていました。
これが、約6文の記事に戻るきっかけとなりました。
公開JavaScriptで漏洩したAPIキーが悪用される可能性 from infosecwriteups.com
security summary.jsファイルは、「バグ報奨金プログラム」に参加しているドメインに直接ホストされていました。
キーはクライアントサイドのJavaScriptコードで公開されており、データの改ざんやアカウントの不正利用(場合によってはアカウントの不正利用)につながる可能性がありました。
また、sudo、git、smh.nlなどのコマンドラインツールを使ったスクリプトクローラーによってクロールされた公開JavaScriptコードでも公開されていました。
これが、約6文の記事に戻るきっかけとなりました。
コメント