Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🌚1💯1
Правильный ответ:
Anonymous Quiz
56%
Недостаточное ограничение доступа в GraphQL (Excessive Data Exposure)
7%
CSRF в GraphQL
23%
Уязвимость NoSQL Injection
13%
SSRF через GraphQL
🤔3👾1
Специалист Digital Risk Protection — офис (Екатеринбург)
Архитектор систем ИБ — гибрид (Москва)
Методолог ИБ — от 200 000 ₽, офис (Москва)
Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)
Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM