Регистрация Войти
fads

Занимаюсь веб-разработкой с 2012 года. Интересуюсь инди-проектами, экспериментирую с новыми идеями и технологиями, создаю собственные проекты и слежу за трендами в индустрии.

3 Апреля 2023

Скрытая уязвимость в Libarea — как подмена ID раскрывает закрытые данные

🔍 В чём суть проблемы?
Всё начинается с простой вещи: на сайте есть объекты — статьи, посты, вопросы — и у каждого из них есть свой data-id. В нормальной ситуации, если объект скрыт от пользователя (например, пост удалён или доступен только автору), то при попытке доступа к нему пользователь должен получить отказ — 403 или 404.

5
399

6 Комментариев