Как я сканировал API-интерфейсы dev.to на наличие уязвимостей

Недавно я увидел, что dev.to обновила свои REST API.
https://developers.forem.com/api

Мне стало любопытно, и я захотел просканировать REST API Dev.to на наличие уязвимостей. Для этой работы я использовал бесплатный веб-инструмент для защиты API.
https://apisec-inc.github.io/pentest/

Вот результаты сканирования

Удивительно, но он сообщил о 8 проблемах. Вот список:

Я проанализировал веб-интерфейс dev.to, чтобы выяснить, что происходит. Я быстро выяснил, что все открытые конечные точки также были открыты в веб-интерфейсе и оставлены публичными по замыслу, чтобы неаутентифицированные пользователи могли просматривать статьи, видео и связанные с ними теги, категории и публичные изображения автора. Все остальные функции, такие как вовлечение в контент, например, лайки, комментарии, следование, создание статей и т.д., требуют аутентификации пользователя.

Бесплатный веб-инструмент проделал достойную работу по выявлению неаутентифицированных конечных точек. Конечно, инструмент никак не мог угадать причины, побудившие компанию оставить эти конечные точки открытыми.

Вот URL бесплатного инструмента: https://apisec-inc.github.io/pentest/

Оцените статью
Procodings.ru
Добавить комментарий