🟢 Low | Баунти: 150.0 | Утечка NPM_API_KEY
Репорт сообщает о возможной утечке ключа NPM_API_KEY. Вероятно, этот ключ используется для доступа к API NPM. Утечка этого ключа может привести к потенциальному нарушению безопасности системы, так как злоумышленники могут получить доступ к этому ключу и использовать его для инъекции зловредного кода, изменения или кражи конфиденциальной информации.
Чтобы предотвратить негативные последствия, необходимо провести следующие шаги:
1. Немедленно отозвать старый ключ NPM_API_KEY.
2. Сгенерировать новый ключ.
3. Внести изменения в соответствующие проекты и настройки, чтобы использовать новый ключ.
4. Оповестить пользователей о возможной утечке и призвать их к смене паролей и проверке активности своих учетных записей.
Выполнение указанных выше шагов поможет уменьшить риск нарушения безопасности и обеспечить безопасность системы в целом.
Репорт сообщает о возможной утечке ключа NPM_API_KEY. Вероятно, этот ключ используется для доступа к API NPM. Утечка этого ключа может привести к потенциальному нарушению безопасности системы, так как злоумышленники могут получить доступ к этому ключу и использовать его для инъекции зловредного кода, изменения или кражи конфиденциальной информации.
Чтобы предотвратить негативные последствия, необходимо провести следующие шаги:
1. Немедленно отозвать старый ключ NPM_API_KEY.
2. Сгенерировать новый ключ.
3. Внести изменения в соответствующие проекты и настройки, чтобы использовать новый ключ.
4. Оповестить пользователей о возможной утечке и призвать их к смене паролей и проверке активности своих учетных записей.
Выполнение указанных выше шагов поможет уменьшить риск нарушения безопасности и обеспечить безопасность системы в целом.
🟢 Low | Баунти: 500.0 | Персонал может продлить пробный период Shopify без разрешения администратора.
Этот репорт сообщает, что персонал имеет возможность продлить пробный период на платформе Shopify без уведомления и согласия администратора. Данное действие может привести к непредвиденным расходам для компании, так как при продлении периода оплата за использование платформы будет продолжаться без разрешения администратора или уведомления компании.
Шаги эксплуатации могут включать в себя сознательное продление периода для личных целей, таких как использование платформы для продажи собственных товаров или другие аналогичные действия. Это может привести к нежелательной потере денег и ресурсов для компании и может оказаться неэтичным поведением со стороны персонала.
Администратору следует принять меры для предотвращения подобной ситуации, предоставляя доступ к управлению продолжительностью пробного периода только в определенных случаях и согласовывая его продление со всеми заинтересованными лицами в компании.
Этот репорт сообщает, что персонал имеет возможность продлить пробный период на платформе Shopify без уведомления и согласия администратора. Данное действие может привести к непредвиденным расходам для компании, так как при продлении периода оплата за использование платформы будет продолжаться без разрешения администратора или уведомления компании.
Шаги эксплуатации могут включать в себя сознательное продление периода для личных целей, таких как использование платформы для продажи собственных товаров или другие аналогичные действия. Это может привести к нежелательной потере денег и ресурсов для компании и может оказаться неэтичным поведением со стороны персонала.
Администратору следует принять меры для предотвращения подобной ситуации, предоставляя доступ к управлению продолжительностью пробного периода только в определенных случаях и согласовывая его продление со всеми заинтересованными лицами в компании.
🟢 Low | Баунти: 111.0 | Ограничение скорости для отчета видео
Этот репорт связан с ограничением скорости для отчета видео. Вероятно, речь идет о том, что скорость воспроизведения видео в отчете ограничена, возможно, для оптимизации производительности или чтобы избежать проблем с загрузкой и буферизацией видео. Ограничение скорости воспроизведения может привести к тому, что пользователи не смогут просмотреть видео в режиме полного экрана или с высоким качеством изображения. Однако это может также повысить стабильность и быстродействие приложения. Решение ограничивать скорость воспроизведения видео в отчете зависит от конкретных требований проекта и нужд пользователей.
Этот репорт связан с ограничением скорости для отчета видео. Вероятно, речь идет о том, что скорость воспроизведения видео в отчете ограничена, возможно, для оптимизации производительности или чтобы избежать проблем с загрузкой и буферизацией видео. Ограничение скорости воспроизведения может привести к тому, что пользователи не смогут просмотреть видео в режиме полного экрана или с высоким качеством изображения. Однако это может также повысить стабильность и быстродействие приложения. Решение ограничивать скорость воспроизведения видео в отчете зависит от конкретных требований проекта и нужд пользователей.
🟡 Medium | Баунти: 400.0 | "В самокате можно просматривать и изменять данные любого заказа без авторизации" - "В самокате можно просмотреть и изменить данные любого заказа без авторизации"
Этот репорт сообщает о серьезной уязвимости в системе управления заказами в компании, которая использует самокаты для доставки. Уязвимость заключается в том, что любой пользователь самоката может без авторизации просмотреть и изменить данные любого заказа. Это может привести к серьезным последствиям, таким как неправильная доставка заказов, утечка конфиденциальной информации о заказах или изменение цен на заказы без разрешения. Шаги эксплуатации этой уязвимости могут включать использование инструментов для перехвата и изменения трафика или использование известных способов обхода авторизации. Компания должна незамедлительно принять меры для исправления данной уязвимости и защиты данных своих клиентов от несанкционированного доступа.
Этот репорт сообщает о серьезной уязвимости в системе управления заказами в компании, которая использует самокаты для доставки. Уязвимость заключается в том, что любой пользователь самоката может без авторизации просмотреть и изменить данные любого заказа. Это может привести к серьезным последствиям, таким как неправильная доставка заказов, утечка конфиденциальной информации о заказах или изменение цен на заказы без разрешения. Шаги эксплуатации этой уязвимости могут включать использование инструментов для перехвата и изменения трафика или использование известных способов обхода авторизации. Компания должна незамедлительно принять меры для исправления данной уязвимости и защиты данных своих клиентов от несанкционированного доступа.
🟢 Low | Баунти: 500.0 | "Коннекты только-подключения могут использовать неправильное соединение"
Этот репорт обозначает проблему, связанную с использованием неправильного соединения при использовании только-подключения (connection-only) в проекте.
Шаги эксплуатации могут включать в себя проверку наличия и использования правильного соединения в соответствующих сценариях, ручное изменение настроек соединения при необходимости, а также перепроверку всего кода, который использует только-подключение.
Неисправное использование соединения может привести к сбоям и неправильным результатам в работе приложения. Это может быть связано с нарушением работы базы данных, потерей данных или нарушением работы в основном процессе программы. Поэтому необходимо тщательно проверять наличие и правильное использование соединения при работе с только-подключением в проекте.
Этот репорт обозначает проблему, связанную с использованием неправильного соединения при использовании только-подключения (connection-only) в проекте.
Шаги эксплуатации могут включать в себя проверку наличия и использования правильного соединения в соответствующих сценариях, ручное изменение настроек соединения при необходимости, а также перепроверку всего кода, который использует только-подключение.
Неисправное использование соединения может привести к сбоям и неправильным результатам в работе приложения. Это может быть связано с нарушением работы базы данных, потерей данных или нарушением работы в основном процессе программы. Поэтому необходимо тщательно проверять наличие и правильное использование соединения при работе с только-подключением в проекте.
😁1
🔴 High | Баунти: 3000.0 | relap.io/admin/api - Administrative API доступен без аутентификации.
Этот репорт указывает на уязвимость в системе relap.io, связанную с тем, что административный API доступен без необходимости аутентификации. Это значит, что злоумышленник может получить доступ к административным функциям, которые предназначены только для авторизованных пользователей.
Шаги эксплуатации такой уязвимости могут начинаться с использования автоматизированных инструментов для сканирования уязвимых точек интерфейса API системы relap.io. Затем злоумышленник может отправить запросы к API без необходимости авторизации и получить доступ к административным функциям, таким как удаление данных, изменение настроек или выпуск новых сессий.
Это может привести к утечке конфиденциальных данных, потере данных, выключению системы или внесению вредоносного кода, что в свою очередь может привести к нарушениям безопасности данных пользователей и компании в целом.
Этот репорт указывает на уязвимость в системе relap.io, связанную с тем, что административный API доступен без необходимости аутентификации. Это значит, что злоумышленник может получить доступ к административным функциям, которые предназначены только для авторизованных пользователей.
Шаги эксплуатации такой уязвимости могут начинаться с использования автоматизированных инструментов для сканирования уязвимых точек интерфейса API системы relap.io. Затем злоумышленник может отправить запросы к API без необходимости авторизации и получить доступ к административным функциям, таким как удаление данных, изменение настроек или выпуск новых сессий.
Это может привести к утечке конфиденциальных данных, потере данных, выключению системы или внесению вредоносного кода, что в свою очередь может привести к нарушениям безопасности данных пользователей и компании в целом.
🟡 Medium | Баунти: 150.0 | Секретный ключ Django утечен в maps.me
Этот репорт сообщает о том, что секретный ключ Django (вероятно, используемый для обработки запросов к базе данных) был утечен в приложении maps.me.
Шаги эксплуатации, которые могут быть выполнены с помощью утечки секретного ключа Django, зависят от того, какой доступ к базе данных может быть получен с его помощью. Некоторые из возможных последствий могут включать в себя неправомерный доступ к конфиденциальным данным, изменение данных в базе данных и выполнение других задач, которые могут привести к компрометации безопасности приложения и/или пользовательских данных.
Для предотвращения дальнейших утечек конфиденциальных данных и уменьшения уязвимостей приложения, разработчикам maps.me рекомендуется незамедлительно запустить процедуру изменения секретного ключа и привести систему в соответствие с хорошими практиками по обеспечению безопасности.
Этот репорт сообщает о том, что секретный ключ Django (вероятно, используемый для обработки запросов к базе данных) был утечен в приложении maps.me.
Шаги эксплуатации, которые могут быть выполнены с помощью утечки секретного ключа Django, зависят от того, какой доступ к базе данных может быть получен с его помощью. Некоторые из возможных последствий могут включать в себя неправомерный доступ к конфиденциальным данным, изменение данных в базе данных и выполнение других задач, которые могут привести к компрометации безопасности приложения и/или пользовательских данных.
Для предотвращения дальнейших утечек конфиденциальных данных и уменьшения уязвимостей приложения, разработчикам maps.me рекомендуется незамедлительно запустить процедуру изменения секретного ключа и привести систему в соответствие с хорошими практиками по обеспечению безопасности.
👍1
🟢 Low | Баунти: 150.0 | Раскрытие личных электронных адресов поддержки на 'support-fleet.city-mobil.ru'
Этот репорт, вероятно, связан с тем, что персональные электронные адреса сотрудников поддержки были раскрыты на сайте 'support-fleet.city-mobil.ru'. Это означает, что имена и контактные данные сотрудников, которые могут обрабатывать конфиденциальную информацию, могут быть доступны для общественного просмотра.
Шаги эксплуатации, возможно, будут направлены на незамедлительное скрытие персональных данных и внедрение новых мер безопасности для предотвращения подобных инцидентов в будущем. Если данные были получены злоумышленниками, кто-то может использовать их для мошеннических целей, в том числе для отправки фишинговых писем или для заполнения спам-баз данных.
Если вы получили подобные сообщения или стали жертвой мошенничества после того, как были раскрыты личные данные, вам следует обратиться к службе поддержки электронной почты или интернет-безопасности для получения советов по действиям.
Этот репорт, вероятно, связан с тем, что персональные электронные адреса сотрудников поддержки были раскрыты на сайте 'support-fleet.city-mobil.ru'. Это означает, что имена и контактные данные сотрудников, которые могут обрабатывать конфиденциальную информацию, могут быть доступны для общественного просмотра.
Шаги эксплуатации, возможно, будут направлены на незамедлительное скрытие персональных данных и внедрение новых мер безопасности для предотвращения подобных инцидентов в будущем. Если данные были получены злоумышленниками, кто-то может использовать их для мошеннических целей, в том числе для отправки фишинговых писем или для заполнения спам-баз данных.
Если вы получили подобные сообщения или стали жертвой мошенничества после того, как были раскрыты личные данные, вам следует обратиться к службе поддержки электронной почты или интернет-безопасности для получения советов по действиям.
🟡 Medium | Баунти: 500.0 | Общедоступный доступ к панели управления Sidekiq на shopper.sbermarket.ru
Данный репорт сообщает о том, что панель управления Sidekiq на сайте shopper.sbermarket.ru доступна для общего доступа. Это может иметь серьезные последствия, так как злоумышленники могут использовать панель управления для выполнения различных операций, например, для запуска вредоносного кода или получения конфиденциальной информации.
Шаги эксплуатации могут включать в себя:
1. Поиск уязвимости на сайте
2. Обнаружение открытой панели управления Sidekiq
3. Получение доступа к панели управления
4. Запуск вредоносного кода или получение конфиденциальной информации.
Это может привести к утечке личной информации пользователей, в том числе логинов и паролей, а также к снижению доверия пользователей к компании и ее услугам.
Данный репорт сообщает о том, что панель управления Sidekiq на сайте shopper.sbermarket.ru доступна для общего доступа. Это может иметь серьезные последствия, так как злоумышленники могут использовать панель управления для выполнения различных операций, например, для запуска вредоносного кода или получения конфиденциальной информации.
Шаги эксплуатации могут включать в себя:
1. Поиск уязвимости на сайте
2. Обнаружение открытой панели управления Sidekiq
3. Получение доступа к панели управления
4. Запуск вредоносного кода или получение конфиденциальной информации.
Это может привести к утечке личной информации пользователей, в том числе логинов и паролей, а также к снижению доверия пользователей к компании и ее услугам.
🔴 High | Баунти: 5000.0 | HTTP-запрос smuggling (?) canpol.deti.mail.ru
Содержание данного репорта, предоставленного пользователем с ником "maxarr", кажется не полным или отсутствующим. В нём указан заголовок "HTTP-запрос smuggling (?) canpol.deti.mail.ru", но не содержится описание или объяснение самого заголовка или проблемы, с которой пользователь столкнулся.
HTTP-запрос smuggling является уязвимостью, связанной с некорректной обработкой заголовков HTTP-запросов, что может привести к нарушению аутентификации, авторизации или инъекциям кода. Однако, в данном репорте информация об уязвимости отсутствует, поэтому необходимо дополнительное объяснение или информация для более полного понимания ситуации.
Содержание данного репорта, предоставленного пользователем с ником "maxarr", кажется не полным или отсутствующим. В нём указан заголовок "HTTP-запрос smuggling (?) canpol.deti.mail.ru", но не содержится описание или объяснение самого заголовка или проблемы, с которой пользователь столкнулся.
HTTP-запрос smuggling является уязвимостью, связанной с некорректной обработкой заголовков HTTP-запросов, что может привести к нарушению аутентификации, авторизации или инъекциям кода. Однако, в данном репорте информация об уязвимости отсутствует, поэтому необходимо дополнительное объяснение или информация для более полного понимания ситуации.
🟡 Medium | Баунти: 150.0 | Возможность просмотра комментариев к чужим обращениям [corporate.city-mobil.ru] would be translated into Russian as "Возможность просмотра комментариев к чужим обращениям [corporate.city-mobil.ru]".
Этот репорт обсуждает функцию возможности просмотра комментариев к чужим обращениям на веб-сайте corporate.city-mobil.ru. Шаги эксплуатации описывают процесс использования этой функции и предостерегают от возможных проблем, которые могут возникнуть вследствие этого. Возможность просмотра комментариев к чужим обращениям может привести к различным результатам, в зависимости от аспектов системы и настроек использования.
Этот репорт обсуждает функцию возможности просмотра комментариев к чужим обращениям на веб-сайте corporate.city-mobil.ru. Шаги эксплуатации описывают процесс использования этой функции и предостерегают от возможных проблем, которые могут возникнуть вследствие этого. Возможность просмотра комментариев к чужим обращениям может привести к различным результатам, в зависимости от аспектов системы и настроек использования.
🟡 Medium | Баунти: 400.0 | Доступ к файлам git и конфигурации на backtoschool.geekbrains.ru через gitfile
В этом репорте описывается шаги эксплуатации и потенциальные последствия доступа к файлам git и конфигурации на backtoschool.geekbrains.ru через gitfile с использованием учетной записи пользователя damian89. Однако, так как контента нет, то подробности о шагах эксплуатации и возможных последствиях не указаны.
В этом репорте описывается шаги эксплуатации и потенциальные последствия доступа к файлам git и конфигурации на backtoschool.geekbrains.ru через gitfile с использованием учетной записи пользователя damian89. Однако, так как контента нет, то подробности о шагах эксплуатации и возможных последствиях не указаны.
🟢 Low | Баунти: 200.0 | Токен API утек на [shoppers.shipt.com]
Согласно данному репорту, пользователь с именем пользователя "1337n0x" обнаружил, что токен API получен от [shoppers.shipt.com] утек. Однако, в данном репорте нет никакой дополнительной информации, в частности отсутствуют шаги эксплуатации. Таким образом, содержание данного репорта ограничено только фактом утечки токена API. Что касается последствий, утечка токена API может привести к возможной компрометации системы или данных, которые токен предоставляет доступ к ним. Потенциальный злоумышленник может использовать полученный токен для несанкционированного доступа к данным или выполнять другие вредоносные действия от имени пользователя, чей токен утек. Поэтому, для безопасности системы и ее пользователей, следует немедленно принимать меры для устранения утечки и обновления токена API.
Согласно данному репорту, пользователь с именем пользователя "1337n0x" обнаружил, что токен API получен от [shoppers.shipt.com] утек. Однако, в данном репорте нет никакой дополнительной информации, в частности отсутствуют шаги эксплуатации. Таким образом, содержание данного репорта ограничено только фактом утечки токена API. Что касается последствий, утечка токена API может привести к возможной компрометации системы или данных, которые токен предоставляет доступ к ним. Потенциальный злоумышленник может использовать полученный токен для несанкционированного доступа к данным или выполнять другие вредоносные действия от имени пользователя, чей токен утек. Поэтому, для безопасности системы и ее пользователей, следует немедленно принимать меры для устранения утечки и обновления токена API.
🟡 Medium | Баунти: 100.0 | https://publishers.basicattentiontoken.org/favicon.ico уязвим к CVE-2017-7529
Этот репорт сообщает о уязвимости в приложении, обозначаемой как CVE-2017-7529. Уязвимость может привести к эксплуатации приложения и возможным негативным последствиям для его безопасности и функциональности.
Пользователь с именем lalit2020 указывает в своем репорте, что он обнаружил, что https://publishers.basicattentiontoken.org является уязвимым к этой конкретной уязвимости. Он не предоставляет подробностей о самой уязвимости или способах ее эксплуатации, но оценивает уровень уязвимости как высокий.
Размещенный пользователем репорт предлагает, что необходимо принять меры для идентификации и устранения уязвимости, чтобы предотвратить потенциальные атаки и хакерские вторжения.
Этот репорт сообщает о уязвимости в приложении, обозначаемой как CVE-2017-7529. Уязвимость может привести к эксплуатации приложения и возможным негативным последствиям для его безопасности и функциональности.
Пользователь с именем lalit2020 указывает в своем репорте, что он обнаружил, что https://publishers.basicattentiontoken.org является уязвимым к этой конкретной уязвимости. Он не предоставляет подробностей о самой уязвимости или способах ее эксплуатации, но оценивает уровень уязвимости как высокий.
Размещенный пользователем репорт предлагает, что необходимо принять меры для идентификации и устранения уязвимости, чтобы предотвратить потенциальные атаки и хакерские вторжения.
🟢 Low | Баунти: 150.0 | Присвоение не претендованного репозитория Github на https://www.data.gov/labs
Этот отчет описывает уязвимость, обнаруженную в веб-сайте www.data.gov/labs. Он указывает на то, что две ссылки, которые должны были вести на простой API, на самом деле вели к странице с ошибкой 404. Следуя шагам в отчете, злоумышленник смог бы зарегистрировать этот непретендующий Github репозиторий под именем "simple-api". Таким образом, злоумышленник мог бы загрузить вредоносный контент на этот сайт, которым в дальнейшем мог бы воспользоваться для атак на посетителей сайта или организацию.
Этот отчет описывает уязвимость, обнаруженную в веб-сайте www.data.gov/labs. Он указывает на то, что две ссылки, которые должны были вести на простой API, на самом деле вели к странице с ошибкой 404. Следуя шагам в отчете, злоумышленник смог бы зарегистрировать этот непретендующий Github репозиторий под именем "simple-api". Таким образом, злоумышленник мог бы загрузить вредоносный контент на этот сайт, которым в дальнейшем мог бы воспользоваться для атак на посетителей сайта или организацию.
🟢 Low | Баунти: 100.0 | Обход фильтра URL в Enterprise Grid
Этот репорт обнаружил уязвимость в Slack Enterprise Grid, которая позволяет добавлять произвольный столбец в профиль аккаунта. Производится проверка входных данных на стороне клиента, что позволяет обойти её, меняя запрос настройки профиля. К примеру, автор показывает, как можно заменить URL-ссылку на телефонный номер используя схему "tel:". Это модет привести к нежелательным звонкам у пользователей, которые кликают на ее. Автор замечает, что исполнение JavaScript невозможно, т.к. оно блокируется серверной валидацией.
Этот репорт обнаружил уязвимость в Slack Enterprise Grid, которая позволяет добавлять произвольный столбец в профиль аккаунта. Производится проверка входных данных на стороне клиента, что позволяет обойти её, меняя запрос настройки профиля. К примеру, автор показывает, как можно заменить URL-ссылку на телефонный номер используя схему "tel:". Это модет привести к нежелательным звонкам у пользователей, которые кликают на ее. Автор замечает, что исполнение JavaScript невозможно, т.к. оно блокируется серверной валидацией.
🟢 Low | Баунти: 250.0 | DOM-основанная внедренческая атака CSS на grammarly.com
Данный репорт описывает уязвимость на сайте grammarly.com, позволяющую злоумышленникам внедрять внешний CSS-файл. Это может привести к фишинговым атакам и кросс-сайтовым скриптовым атакам в старых браузерах. Уязвимость проявляется при монтаже компонента и заключается в том, что параметр extcss загружает внешний CSS файл без проверки источника или фильтрации. Проблема была проверена в браузерах Chrome и Firefox. Атака может быть использована для имитации страницы по усмотрению злоумышленника, что упрощает проведение фишинговых атак.
Данный репорт описывает уязвимость на сайте grammarly.com, позволяющую злоумышленникам внедрять внешний CSS-файл. Это может привести к фишинговым атакам и кросс-сайтовым скриптовым атакам в старых браузерах. Уязвимость проявляется при монтаже компонента и заключается в том, что параметр extcss загружает внешний CSS файл без проверки источника или фильтрации. Проблема была проверена в браузерах Chrome и Firefox. Атака может быть использована для имитации страницы по усмотрению злоумышленника, что упрощает проведение фишинговых атак.
ℹ️ None | Баунти: Неизвестно | CSRF на /subscription_manage.php эндпоинте на allods.mail.ru
К сожалению, ваш запрос не содержит достаточно информации, чтобы я могла полностью объяснить содержание отчета. Однако, могу подсказать, что это представляет собой репорт об уязвимости на сайте allods.mail.ru, который был обнаружен пользователем под именем "3apa3a". Пользователь нашел уязвимость CSRF на конкретном эндпоинте (точке входа), именуемым "/subscription_manage.php". Уязвимость CSRF - это тип атаки, который заставляет конечного пользователя выполнять нежелательные действия на веб-сайте, в котором он в данный момент аутентифицирован. Подробности уязвимости не указаны, т.к. репорт имеет статус "без содержания".
К сожалению, ваш запрос не содержит достаточно информации, чтобы я могла полностью объяснить содержание отчета. Однако, могу подсказать, что это представляет собой репорт об уязвимости на сайте allods.mail.ru, который был обнаружен пользователем под именем "3apa3a". Пользователь нашел уязвимость CSRF на конкретном эндпоинте (точке входа), именуемым "/subscription_manage.php". Уязвимость CSRF - это тип атаки, который заставляет конечного пользователя выполнять нежелательные действия на веб-сайте, в котором он в данный момент аутентифицирован. Подробности уязвимости не указаны, т.к. репорт имеет статус "без содержания".
🟢 Low | Баунти: Неизвестно | Обход ограничения на отправку СМС для загрузки ссылки на приложение.
В этом репорте описан баг на сайте Zomato, который позволяет обойти ограничение на количество СМС, которые пользователь может отправить с сайта. В нормальном режиме, пользователь может отправить до 15 СМС с ссылкой на загрузку приложения Zomato. Однако, баг позволяет отправить СМС на любое количество номеров, игнорируя ограничение. Автор описал детальные шаги для воспроизведения бага и приложил скриншот. Конечно, это проблема, так как атакующий может использовать этот баг, чтобы спамить людей СМС с ссылкой на загрузку приложения.
В этом репорте описан баг на сайте Zomato, который позволяет обойти ограничение на количество СМС, которые пользователь может отправить с сайта. В нормальном режиме, пользователь может отправить до 15 СМС с ссылкой на загрузку приложения Zomato. Однако, баг позволяет отправить СМС на любое количество номеров, игнорируя ограничение. Автор описал детальные шаги для воспроизведения бага и приложил скриншот. Конечно, это проблема, так как атакующий может использовать этот баг, чтобы спамить людей СМС с ссылкой на загрузку приложения.
ℹ️ None | Баунти: Неизвестно | Открытый исходный код
Простите, но мне нечего анализировать и объяснять. Вы предоставили заголовок "Открытый исходный код" и имя пользователя "3apa3a", но не предоставили информацию о тексте репорта, содержание которого я должен объяснить. Пожалуйста, предоставьте более подробную информацию.
Простите, но мне нечего анализировать и объяснять. Вы предоставили заголовок "Открытый исходный код" и имя пользователя "3apa3a", но не предоставили информацию о тексте репорта, содержание которого я должен объяснить. Пожалуйста, предоставьте более подробную информацию.
🤩10