Telegram-бот принимает user_id без проверки и возвращает данные любому — IDOR в одну строку. Токен лежит в публичном репозитории — token theft без взлома. Webhook не проверяет источник — любой желающий шлёт «обновления». Безопасность ботов ломают не APT-атаками, а потому что базовые вещи сделаны на скорую руку.Четыре точки атаки: Bot API, Webhook, Mini Apps, user input. Типовые уязвимости: token theft через открытый...
Аудит безопасности Telegram-ботов
Источник: codeby.net