AVideo Platform 8.1 содержит уязвимость раскрытия информации, которая позволяет злоумышленникам перечислять данные пользователей через коне…
AVideo Platform 8.1 содержит уязвимость раскрытия информации, которая позволяет злоумышленникам перечислять данные пользователей через конечную точку playlistsFromUser.json.php. Злоумышленники могут получить конфиденциальную информацию о пользователях, включая электронную почту, хэш пароля и административный статус, манипулируя параметром user_id.
Продукт не предотвращает должным образом доступ к персональным данным лица со стороны субъектов, которые (1) не имеют явного разрешения на доступ к этой информации или (2) не имеют неявного согласия лица, о котором эти данные собраны.
https://cwe.mitre.org/data/definitions/359.html →Открыть в коллекции CWE →Злоумышленник создаёт чрезвычайно устойчивый cookie-файл, который сохраняется даже после того, как пользователь считает его удалённым. Cookie-файл хранится на машине жертвы более чем в десяти местах. Когда жертва очищает кэш cookie-файлов стандартными средствами браузера, эта операция удаляет cookie-файл из ряда мест, но не из всех. Вредоносный код затем воспроизводит cookie-файл из всех мест, где он не был удалён, во все возможные хранилища. В итоге у жертвы снова оказывается cookie-файл во всех исходных хранилищах. Иными словами, неудаление cookie-файла даже из одного места приводит к его восстановлению повсюду. Evercookie также сохраняется при смене браузера, поскольку некоторые хранилища (например, Local Shared Objects) являются общими для разных браузеров.
https://capec.mitre.org/data/definitions/464.html →Открыть в коллекции CAPEC →Злоумышленник собирает идентификационные данные о жертве через активную сессию, которую браузер жертвы поддерживает с социальной сетью. Жертва может держать социальную сеть открытой в одной из вкладок или использовать функцию «запомнить меня» для поддержания активной сессии. Злоумышленник внедряет полезную нагрузку, выполняющуюся в браузере жертвы и незаметно для неё инициирующую запрос к социальной сети (например, через доступные API социальной сети) с целью получения идентификационных данных жертвы. Хотя часть этих данных может быть публичной, злоумышленник получает её в контексте и может использовать для дальнейших атак на пользователя (например, целевого фишинга).
https://capec.mitre.org/data/definitions/467.html →Открыть в коллекции CAPEC →Злоумышленник анализирует снимки экрана, создаваемые iOS, с целью получения конфиденциальной информации. Данная атака нацелена на временные снимки экрана, создаваемые операционной системой в то время, когда приложение остаётся открытым в фоновом режиме.
https://capec.mitre.org/data/definitions/498.html →Открыть в коллекции CAPEC →При атаке подглядывания через плечо злоумышленник наблюдает за нажатиями клавиш, содержимым экрана или разговорами ничего не подозревающего человека с целью получения конфиденциальной информации. Одним из мотивов данной атаки является получение конфиденциальной информации о цели в финансовых, личных, политических или иных целях. С точки зрения инсайдерской угрозы дополнительным мотивом может быть получение учётных данных для системы/приложения или криптографических ключей. Атаки подглядывания через плечо осуществляются путём наблюдения за содержимым «через плечо жертвы», как следует из названия данной атаки.
https://capec.mitre.org/data/definitions/508.html →Открыть в коллекции CAPEC →