-
Notifications
You must be signed in to change notification settings - Fork 23
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Zafiyet Adı : Information Disclosure #49
Comments
@hackerone-yusuf tekrar kontrol edebilir misiniz? |
İlgileniyorum |
Şuan bu backend buraya bağlı değil |
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Zafiyet: Hassas Bilgi İfşası
Zafiyet Açıklaması: Kullanıcı adı , soyadı , telefon numarası gibi veriler uygulamada clear text olarak gözükmemektedir. Fakat uygulamadan dönen cevaplar incelendiğinde verilerin kullanıcıya açık bir şekilde gönderildiği gözükmektedir. Sadece arayüzde yıldızlı olarak gözükmektedir.
Bahsi Geçen İstekler:
![image0modified](https://user-images.githubusercontent.com/124896653/217839560-465261d5-6ef7-41a0-a7d0-3c1117bee56c.png)
Verileri döndüren URL : deprem.io/elasticsearch/msearch ve deprem.io/api/1.1/init/data?location=
Yeniden üretme adımları:
1.https://deprem.io/yardim-list-enkaz adresine gidin
![image](https://user-images.githubusercontent.com/124896653/217840141-83fbefc2-ea94-49fb-bbca-aa863c4627d4.png)
![image](https://user-images.githubusercontent.com/124896653/217841041-762d3123-0eb7-42d5-a002-da4e47f22565.png)
![image](https://user-images.githubusercontent.com/124896653/217843187-ff7b5871-3ccb-49a6-8ebc-70e68f8e2ecc.png)
![image](https://user-images.githubusercontent.com/124896653/217843785-c5c0a327-d253-4f6a-976b-64aeed4447d4.png)
2.Burp Suite intercepti açıp herhangi birinde "Detaya git"e basın.
3.elasticsearch/msearch ya da /api/1.1/init/data?location= ile başlayan request gelene kadar forward edin.
4.Bulduğunuz zaman repeater'a yollayın.
5.Bize gönderilen response'da veriler sansürsüz bir şekilde görülebilmekte.
Çözüm Önerisi : Yıldızlama işlemi sunucuda yapılıp, uygulama arayüzüne şifreli olarak gönderilmelidir.
The text was updated successfully, but these errors were encountered: