Excessive Data Exposure — API возвращает больше данных, чем нужно клиенту, надеясь что frontend скроет лишнее. Пример: GET /users/{id} возвращает хешированный пароль, внутренние заметки, SSN. Тестируем: изучаем все ответы API, не присутствуют ли sensitive поля (password_hash, secret_key, ssn, internal_notes). Response filtering должен быть на сервере, не на клиенте. Ищем через Swagger-документацию и реальные запросы через DevTools.
Что такое excessive data exposure и как тестировать?
Middle
261 просмотровAFK Offer AI
Что такое information disclosure и как тестировать?