Наличие в открытом доступе файла с описанием внутреннего апи является уязвимостью?
Наличие в открытом доступе файла swagger.json является уязвимостью?
Ведь по нему злоумышленнику гораздо легче разобраться в вашем приложении. Если это апи какого то личного кабинета имеет смысл отдавать его содержимое только авторизованным клиентам?
Правда злоумышленник может просто зарегистрироваться на сайте и так же получать данные.
Просто видел недавно проект где на эндпойнт /api сайт отвечает полной схемой апишки. а так как я бэкенд разработчик, а не фронтенд, то не совсем понимаю зачем этот файл нужен фронту, тем более на продуктовой среде. я то думал его только для разработки желательно держать. Показывать его всему миру если у вас закрытое внутреннее апи ни к чему.
Прав я или нет? является ли это потенциальной уязвимостью хотя бы на один балл из 10? что скажете?
допустим злоумышленник видит в схеме, что есть некий эндпойнт admin/withdraw_money_to/ а разрабы по запаре забыли авторизацию нацепить на эндпойнт. и как итог денежки уходят к вредителю. Конечно здесь неправильно реализованная авторизация причина. но не обладая схемой, злоумышленник бы не сразу догадался. а тут так удобно, вся схема на виду, дергай себе и дергай
В данном случае, то что разрабы забыли прикрутить это и есть уязвимость. Важно, уязвимость в продукте, отсутствие авторизации, следствие проблем в бизнес процессе разработки и закрывается мерами по отношению к этому процессу, а не мерами по отношению к продукту.
Допустим вы в модели угроз указали, что такую то угрозу закрываете, через сокрытие информации об эндпоинтах, это само по себе потребует от вас принятия мер по закрытию такой информации, не просто, а не публикуйте пожалуйста api в открытом доступе, а целой пачки документов и мер описывающих оборот такой информации, при это формально всем вашим контрагентам которые получат к ней доступ, нужно будет принимать аналогичные меры.
