Один параметр в URL — баланс чужого счёта. Банк прошёл PCI DSS месяц назад, использовал OAuth 2.0 и API Gateway от крупного вендора. BOLA остаётся уязвимостью №1 уже который год.OWASP API Top 10: BOLA (подмена account_id в GET-запросе), BFLA (вызов...
Уязвимости банковских API: методология пентеста от разведки до эксплуатации
Источник: codeby.net