Пентест интернет-банка, 800 тысяч клиентов. GET /api/v2/accounts/{id}/statements, подмена идентификатора счёта — полная выписка чужого клиента за 12 минут. SIEM банка за это время не выдал ни одного алерта. Классическая BOLA, API1:2023.Три поверхности атаки: веб-ДБО (IDOR, race...
Пентест банковских приложений: от тестирования ДБО до detection-правил SOC
Источник: codeby.net