Lokalna Poreska Administracija - izložen JMBG kroz URL upit

[milos_rs]

Primećemo 11.02.2022 od strane Joshibeast:

Cija je genijalna ideja bila da se JMBG gura u URL? hxxps://lpa.gov.rs/jisportal/wus/obveznik/{{JMBG}}/wusdatalist.

izvor za tvit https://twitter.com/Joshibeast/status/14...5711820809

Do dan danas je isto:

   

Na sreću postoji kontrola autentifikacije pa ne dozvolajva da se otvori JMBG koji nije trenutno autentifikovan:

   

Šta je zapravo problem sa ovim?

CWE-598: Use of GET Request Method With Sensitive Query Strings

The query string for the URL could be saved in the browser's history, passed through Referers to other web sites, stored in web logs, or otherwise recorded in other sources.