Api açığı
Merhaba
Ünlü bir Web sitesinin bir endpoint açığı var ve ürün bilgilerine tüm detaylarıyla yetkisiz biçimde erişilebilir durumda
Bu açığı graphql üzerinde bırakmışlar
Merak ettiğim ben bu apiyi kullanırsam bir sorun olur mu?
Etik açıdan değil sorum 😂
Soru hatalı mı? 👎
Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!
Cevaplar (7)
yani genelde zaten api public'tir, auth gerektirmeyen bir cok noktada bir cok sitenin api'sine erisebilirsin, tabi burada eristigin datalarin hassasiyeti ne bilmiyorum ancak public ise cok bir sey fark etmiyor, yine de bunu ticari amacla kullanmak sorun yaratabilir dikkatli ol :)
benimde söyle bir anim oldu.
Bunda yillar önce gencin biri bana whatsapp üzeri yazdi (webhosting, domain vb. sirketim var avusturyada) ilk basta ingilizce yazdi baktim numara türkiye numarasi basta bende ingilizce konustum bana sitede aciklar var dedi bende ne tür aciklar dedim tek tek söyledi bende arastirdim gercekten dogruyu söylüor geri türkce cevap vererek tesekkür ettim ve bildirdigi icinde bir miktar para göndermistim yani demek istedigim herkes ayni degil ve hic bir sistem 100% güvenli degildir sana hatta buradaki herkese tavsiyem acik bulursaniz bunu bildirin karsi taraf bu iyi niyeti anlamasada elbet birgün o iyilik döner dolasir tekrar sizi bulur emin olun
sana ufak bir anımı anlatayım yıllar önce çok heyecanlı dolandığımız dönemde
arkadaşım natro sunucularındaki açıkları tespit edip natro ya bildirdi bu tarz açıklarınız var zarar görmemek için kapatın tarzında natro arkadaşımı dava ediyor ve 1 yıl ceza alıyor
böyle birşeyle karşılaşmak istemiyorsan ne bildir nede kullan derim. Kimin ne halt olduğu belli olmuyor.
şöyle bir açıda var tabi geçenlerde bir web sitesine girdim
kişinin telefon veya ad soyad veya tc no sunu yazıyorsun iliğine kadar ne kadar devlette kayıtlı bilgisi varsa veriyor.
sıkıntılı işler bunlar.
