Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak można było mieć dostęp do dziesiątek tysięcy raportów z wypadków, w których brały udział samochody wypożyczone z Hertz? Zmieniając identyfikator w tym adresie: /accident-report/12345
Uff, w zasadzie cała treść znaleziska zmieściła się w tytule ;-) co w pewien sposób świadczy o poziomie bezpieczeństwa aplikacji webowych w 2024 roku…
Dla jasności cała historia wyglądała tak: najpierw badacz otrzymał maila z Hertz z informacją o swoim raporcie. W tym przypadku adres w aplikacji webowej wyglądał mniej więcej tak:
/accident-report/12345
Po zmianie identyfikatora np. na: /accident-report/12333 … otrzymał raport innej osoby. Tak, te raporty (zawierające również czasem obrażenia uczestnika wypadku) były dostępne bez autoryzacji:
~ms
Czasami aplikacja jest nawet nieźle początkowo zabezpieczona, ale niektóre rzeczy znikają po którymś wdrożeniu. Ciekawy jestem, co się tutaj stało, bo to nie mogło być tak zaprojektowane.
Super. Swietnie zaprogramowane. To chyba feature a nie bug?