Bu da herkesin gözü önünde olan başka bir hatadır çünkü bilerek aramamış olsaydınız, kişisel bilgilerin ‘gizlice’ sızdırıldığını asla fark etmezdiniz.
Bu özellik nasıl çalışıyor?
Test ederken [redacted] Şu metin dikkatimi çekti:
Bu kutuyu işaretlemeniz, teşekkür listelerini yönetmelerine yardımcı olmak için adresinizi listeyi oluşturan kişiyle paylaşmamıza olanak tanır. Tercihinizi istediğiniz zaman değiştirebilirsiniz.
Yalnızca adresinizin paylaşılacağı belirtiliyor ve başka bir şey yok. Burası şöyle notlar yazmaya başladığım yer:Özellik [xyz] — Adres paylaşılır, yansıtılır [redacted].com/example. Yalnızca listeyi oluşturan kişi görebilir, başka kimse görmez.”. Bu şekilde hedeflerimi biliyorum ve geliştiricilerin bunun gibi özellikleri uygularken nasıl düşündüklerini anlamaya başlayabilirim. Testlerim devam ettikçe, herhangi bir özelliğin bağlantılı olup olmadığını veya veri paylaşıp paylaşmadığını vs. belirlemek için notlarıma ekleme yapmaya başlayacağım. Bir sitenin nasıl “bir araya getirildiğini” ne kadar çok anlarsanız, onu o kadar çok parçalayabilirsiniz. !
Özelliği test ettim ve amaçlandığı gibi çalıştığı görüldü. Listeden bir hediye satın aldım ve “Teşekkür ederim” listesinde göründüm ve listeyi oluşturan kişi adresimi (belirtildiği gibi) görebiliyordu. Saklanan XSS, IDOR, sandbox CC ile satın alma vb. gibi birçok sorunu test etmeyi denedim ancak HAYIR başarı. Her şey amaçlandığı gibi çalıştı.
Hala liste oluşturucusu olarak kimliğim doğrulandı, teşekkür listemi görüntülerken kaynağa göz atmaya karar verdim (görüntüleme kaynağı aracılığıyla). Merak ettim, paylaşılan sadece benim adresim miydi? Bir ürün satın alırken kullandığım e-postayı aramaya karar verdim ve CTRL + F tuşlarına basıp “@googlemail.com”u aramaya başladım.
… ve işte oradaydı, e-postam HTML DOM’da gizlice duruyordu. Merak işe yaradı. Bu kadar basit. Listemden hediye alan herhangi bir kullanıcı yalnızca adresini paylaşmakla kalmaz, aynı zamanda Ayrıca bana özel e-posta adreslerini paylaş. Sorun şuydu ki, onların hiçbir fikrim yok. Onlar Olumsuz e-postalarının paylaşılacağı konusunda bilgilendirilmedi ve listeyi oluşturan kişi de bu e-postaya erişebilecekleri konusunda bilgilendirilmedi.
Sağlanan repo adımları:
Bir özellik yalnızca belirli bilgileri paylaşacağını söylediği için, bunu doğrula! Daha fazla bilginin açığa çıkıp çıkamayacağını belirlemek için mümkün olduğunca çok dedektiflik yapın. Geliştiriciler çok fazla veriyle çalışır ve teknoloji büyüdükçe hangi verinin yansıtılacağından emin olmaları gerekir, ancak çok fazla veri işledikleri için geliştiriciler hata yapabilir ve amaçlanandan daha fazla veri sızdırabilir. GraphQL bu konuda kötü bir şöhrete sahip ve ben bunun sızıntılı olduğunu düşünüyorum
(yan ipucu: mobil uygulamaları VE web uygulamasının mobil sürümünü unutmayın! çoğu şirketin mobille ilgili şeyler için ayrı ekipleri vardır. mobil şeylerin çoğu masaüstü uygulamasından *sonra* gelir, dolayısıyla genellikle güvenlik düşünülmeden bir araya getirilir. Sadece basit bir kullanıcı arayüzü oluştururlar ve verileri çekmeye başlarlar.)
~zseano