Назад

API

Полный доступ к API, который считали внутренним

Почти у каждого продукта есть API только для своих. Показываем, почему слово внутренний ничего не закрывает.

Image

Внутренний API

Собрали самое ценное

С чего всё началось

Что насторожило

Как открылось чужое

Где была дыра и как закрыли

Эндпоинт которого не было в документации

В JS-бандле нашлись пути которых не было в публичной документации. Один из них выглядел как служебный - /api/internal/export. Судя по названию - для внутреннего использования, вероятно для миграций или бэкапов.

Мы отправили GET-запрос без авторизационного заголовка. Ожидали 401 или 403.

Получили 200 и JSON с данными.

Related Blogs

Image
Финтех

Анализ защищенности

Как мы нашли возможность списания денег с любого счета

Миллионы пользователей и одна ошибка в логике авторизации. Показываем, как из неё собирается рабочий способ увести деньги без пароля.

Icon
Icon
Image
Финтех

Анализ защищенности

Как мы нашли возможность списания денег с любого счета

Миллионы пользователей и одна ошибка в логике авторизации. Показываем, как из неё собирается рабочий способ увести деньги без пароля.

Icon
Icon
Image
Финтех

Анализ защищенности

Как мы нашли возможность списания денег с любого счета

Миллионы пользователей и одна ошибка в логике авторизации. Показываем, как из неё собирается рабочий способ увести деньги без пароля.

Icon
Icon
Image
Взлом приложения

Анализ защищенности

Как мы достали всю базу клиентов из приложения в магазине

Скачали приложение как обычный пользователь, разобрали за вечер и нашли ключ, открывающий доступ ко всем данным. Показываем как и как это закрыть

Icon
Icon
Image
Взлом приложения

Анализ защищенности

Как мы достали всю базу клиентов из приложения в магазине

Скачали приложение как обычный пользователь, разобрали за вечер и нашли ключ, открывающий доступ ко всем данным. Показываем как и как это закрыть

Icon
Icon
Image
Взлом приложения

Анализ защищенности

Как мы достали всю базу клиентов из приложения в магазине

Скачали приложение как обычный пользователь, разобрали за вечер и нашли ключ, открывающий доступ ко всем данным. Показываем как и как это закрыть

Icon
Icon

Путь к защите

Что увидит атакующий, если начнёт изучать вашу инфраструктуру сегодня?

Аудит покажет реальный путь к вашим данным

Icon
Icon

Связаться с нами

Связаться с нами

начать бесплатно

начать бесплатно

Shape

Путь к защите

Что увидит атакующий, если начнёт изучать вашу инфраструктуру сегодня?

Аудит покажет реальный путь к вашим данным

Icon
Icon

Связаться с нами

Связаться с нами

начать бесплатно

начать бесплатно

Shape

Путь к защите

Что увидит атакующий, если начнёт изучать вашу инфраструктуру сегодня?

Аудит покажет реальный путь к вашим данным

Icon
Icon

Связаться с нами

Связаться с нами

начать бесплатно

начать бесплатно

Shape