@lohatnikov

Наличие в открытом доступе файла с описанием внутреннего апи является уязвимостью?

Наличие в открытом доступе файла swagger.json является уязвимостью?
Ведь по нему злоумышленнику гораздо легче разобраться в вашем приложении. Если это апи какого то личного кабинета имеет смысл отдавать его содержимое только авторизованным клиентам?

Правда злоумышленник может просто зарегистрироваться на сайте и так же получать данные.

Просто видел недавно проект где на эндпойнт /api сайт отвечает полной схемой апишки. а так как я бэкенд разработчик, а не фронтенд, то не совсем понимаю зачем этот файл нужен фронту, тем более на продуктовой среде. я то думал его только для разработки желательно держать. Показывать его всему миру если у вас закрытое внутреннее апи ни к чему.

Прав я или нет? является ли это потенциальной уязвимостью хотя бы на один балл из 10? что скажете?
  • Вопрос задан
  • 41 просмотр
Решения вопроса 1
@nApoBo3
Это не является уязвимостью. Для того, чтобы понять, что уязвимость, а что нет, нужна модель угроз.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы