Zafiyet Adı : Information Disclosure #49
Comments
|
@hackerone-yusuf tekrar kontrol edebilir misiniz? |
Maalesef sorun devam ediyor, request'in tamamı burada
|
|
İlgileniyorum |
|
Şuan bu backend buraya bağlı değil |
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Zafiyet: Hassas Bilgi İfşası
Zafiyet Açıklaması: Kullanıcı adı , soyadı , telefon numarası gibi veriler uygulamada clear text olarak gözükmemektedir. Fakat uygulamadan dönen cevaplar incelendiğinde verilerin kullanıcıya açık bir şekilde gönderildiği gözükmektedir. Sadece arayüzde yıldızlı olarak gözükmektedir.
Bahsi Geçen İstekler:
Verileri döndüren URL : deprem.io/elasticsearch/msearch ve deprem.io/api/1.1/init/data?location=
Yeniden üretme adımları:
1.https://deprem.io/yardim-list-enkaz adresine gidin
2.Burp Suite intercepti açıp herhangi birinde "Detaya git"e basın.
3.elasticsearch/msearch ya da /api/1.1/init/data?location= ile başlayan request gelene kadar forward edin.
4.Bulduğunuz zaman repeater'a yollayın.
5.Bize gönderilen response'da veriler sansürsüz bir şekilde görülebilmekte.
Çözüm Önerisi : Yıldızlama işlemi sunucuda yapılıp, uygulama arayüzüne şifreli olarak gönderilmelidir.
The text was updated successfully, but these errors were encountered: