04-03-2025, 07:18 PM
(04-03-2025, 06:25 PM)milos_rs Wrote: Ovo je ozbiljan propust ako se može vršiti enumeracija svih korisnika na portalu.
ali platne kartice? To mi je neobično, retko ko čuva platne kartice nego vrši transakcije preko eksternih APIja prema bankama i nikad ni ne vidi podatke kartice nego samo da li je transakcija uspela ili nije
Da,doslovno se moze pristupiti svim podacima korisnika na osnovu njihovih user ida(na drugom endpointu na osnovu id-a "prijave"),a cinjenica da su platni podaci u okviru toga bice razjasnjena kada budu popravili ranjivost...
Mada opet ne bi morali(i trebali) da se vracaju korisniku,oni izgleda ceo objekat povuku iz baze,i korisniku potrebne i nepotrebne informacije...