Brian Krebs donosi o kompromitującej podatności w API należącym do Panabread (bardzo popularna sieciowa restauracja w US/Kanadzie – posiadająca około 2100 fizycznych lokalizacji!). Problem jest ciekawy do najmniej ze względu na kilka elementów. Po pierwsze – nie trzeba było mieć kompletnie żadnej wiedzy technicznej żeby pobrać dane klientów. Po pierwsze,…
Czytaj dalej »
Błąd występował w API znajdującym się tutaj: wsg.t-mobile.com (poza e-mailami, i numerami IMSI – można było pobrać i inne dane – patrz koniec posta). Podatność została zgłoszona i w niecałe 24 godziny załatana (badacz, który poinformował o problemie otrzymał $1000 w ramach bug bounty). Ale to nie koniec historii, okazuje się…
Czytaj dalej »
Wycieki kluczy, 20 realnych przykładów podatności w API (m.in. z UBER, Airbnb, Twitter, Facebook, Nissan, Github, Equifax, Cisco…), wykonywanie kodu na serwerze przez API, ćwiczenia online, masa praktyki… to kilka elementów z naszego nowego szkolenia o bezpieczeństwie API REST.
Czytaj dalej »
Znany badacz bezpieczeństwa – Troy Hunt – pokazał proste do wykorzystania podatności w dostępnym publicznie API autorstwa Nissana.
Czytaj dalej »