Lokalna Poreska Administracija - izložen JMBG kroz URL upit

Lokalna Poreska Administracija - izložen JMBG kroz URL upit - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Neadekvatno zaštićeni resursi (https://bezbedanbalkan.net/forum-7.html)
+--- Thread: Lokalna Poreska Administracija - izložen JMBG kroz URL upit (/thread-1367.html)

Lokalna Poreska Administracija - izložen JMBG kroz URL upit - milos_rs - 03-22-2024

Primećemo 11.02.2022 od strane Joshibeast:

Quote:Cija je genijalna ideja bila da se JMBG gura u URL? hxxps://lpa.gov.rs/jisportal/wus/obveznik/{{JMBG}}/wusdatalist.

izvor za tvit https://twitter.com/Joshibeast/status/1492100065711820809

Do dan danas je isto:

Filename: Screenshot_20240322_103934.png Size: 254.59 KB 03-22-2024, 09:55 AM

Na sreću postoji kontrola autentifikacije pa ne dozvolajva da se otvori JMBG koji nije trenutno autentifikovan:

Filename: Screenshot 2024-03-22 at 10-38-56 Lokalna poreska administracija.png Size: 59.27 KB 03-22-2024, 09:55 AM

Šta je zapravo problem sa ovim?

CWE-598: Use of GET Request Method With Sensitive Query Strings

Quote:The query string for the URL could be saved in the browser's history, passed through Referers to other web sites, stored in web logs, or otherwise recorded in other sources.