GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Embed Notice

HTML Code

Corresponding Notice

  1. Embed this notice
    h12o (h12o@mastodon.tokyo)'s status on Friday, 08-Dec-2023 01:05:22 JSTh12oh12o
    in reply to

    @mamemomonga 「APIの認証がかかってなかった」と言い切れないだけで、実は本当にAPIの認証がかかってなかったことも考えられはしますが、一方で、「(ログインしているユーザー以外のデータであっても)全ての(ユーザーのデータを引っ張ってこれる)クエリに答えるようになっていた」ことも考えられます。

    たとえば`/api/v1/:uid/matchingapplist?format=json`というAPI(`:uid`は利用者のID)でインストールされているマッチングアプリの一覧が取得できるとします。

    まめもさんがuid=10000、h12oがuid=10001だとして、まめもさんがまめもさんとして認証された状態で、それに紐づいたBearerトークンを使って、`/api/v1/10001/matchingapplist?format=json`にクエリを出して、h12oのmatchingapplistが取れてしまったら、これは認可制御の不備ということになります。

    In conversationabout a year ago from mastodon.tokyopermalink
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.