Zmieniając ID można było pobierać zdjęcia ‘źle zaparkowanych’ samochodów innych kierowców [Szczecin]

Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykładowo: Temat zgłosiliśmy 3.1.2026 do Urzędu Miasta Szczecina a rozbudowaną odpowiedź otrzymaliśmy 5.1.2026 – ale...

#Aktualności #Awareness #Incydent #Podatność #Websec

https://sekurak.pl/zmieniajac-id-mozna-bylo-pobierac-zdjecia-zle-zaparkowanych-samochodow-innych-kierowcow-zdjecia-byly-surowe-czarne-zamazanie-pochodzi-od-sekuraka/

Oddawałeś krew? Twoje zaświadczenie w IKP miało przewidywalny identyfikator

Jedną z podstawowych podatności aplikacji webowych jest IDOR (Insecure Direct Object Reference). Do jej wystąpienia dochodzi, gdy aplikacja udostępnia bezpośrednie odwołania do obiektów (np. zasobów) na podstawie identyfikatora przekazywanego przez użytkownika, nie weryfikując poprawnie uprawnień dostępu. W praktyce oznacza to, że aby uzyskać dostęp do zasobu, może wystarczyć znajomość (lub...

#Aktualności #Teksty #IDOR #Ikp #Konto #Pacjent #Websec

https://sekurak.pl/oddawales-krew-twoje-zaswiadczenie-w-ikp-mialo-przewidywalny-identyfikator/

Jak można było usunąć czyjeś konto Firefox – podatność IDOR w API Mozilli

W interfejsie API Mozilli wykryto podatność Insecure Direct Object Reference (IDOR), która umożliwiała uwierzytelnionemu atakującemu korzystającemu z OAuth (np. logowania przez konto Google) usunięcie konta innego zarejestrowanego przez OAuth użytkownika, znając jedynie jego adres e-mail. Serwer nie weryfikował, czy sesja wysyłająca żądanie usunięcia należy do konta, które ma zostać usunięte.TLDR:...

#Aktualności #IDOR #Podatność #Websec

https://sekurak.pl/jak-mozna-bylo-usunac-czyjes-konto-firefox-podatnosc-idor-w-api-mozilli/

If you're writing a tiny self-hosted web app for offensive security purposes or for application testing purposes, do you care if the web server/framework checks if there's a Host: header and that it matches the host/IP the HTTP server is listening on? Would you prefer Host: header validation be disabled by default or left on?

#websec #offsec #appsec

Petlibro – jak urządzenia do karmienia zwierząt udostępniały dane

W redakcji staramy się przyzwyczajać Czytelników do pewnych truizmów. W przypadku IoT, będzie to oczywiście kiepska implementacja funkcji bezpieczeństwa (o ile w ogóle producent postanowi przejmować się takimi bzdurami). W związku ze świątecznym rozprężeniem, przybliżamy absurdalnie trywialne do wykorzystania i całkiem niebezpieczne podatności w… automatycznym dozowniku do karmy dla zwierząt....

#Aktualności #Authbypass #Enum #Iot #Petlibro #Smart #Websec

https://sekurak.pl/petlibro-jak-urzadzenia-do-karmienia-zwierzat-udostepnialy-dane/