Case Studies
Case studies: pentesty i audyty bezpieczeństwa Pentestica
Jeśli interesuje Cię “jak” (a nie tylko “że działa”), jesteś w dobrym miejscu. Opisujemy podejście, walidację, priorytetyzację ryzyka i to, jak wygląda remediacja oraz retesty po poprawkach.
(Dane są zanonimizowane, bo NDA to nie ozdoba, tylko realna zasada gry.)
Wtyczka, która widziała za dużo: nadużycie OAuth i nadmiarowe uprawnienia integracji
Podczas audytu bezpieczeństwa integracji (plugin + API) wykryliśmy ryzyko związane z OAuth: integracja prosiła o zbyt szerokie scope’y, a tokeny dostępu były przechowywane w sposób umożliwiający eskalację skutków incydentu (np. po przejęciu konta w panelu lub błędzie...
“Zalogowany” nie znaczy “bezpieczny”: przejęcie konta przez Session Fixation + słabe odświeżanie sesji
Podczas testów penetracyjnych portalu B2B wykryliśmy scenariusz przejęcia konta oparty o session fixation i nieprawidłowe odświeżanie sesji po logowaniu. Aplikacja akceptowała identyfikator sesji ustawiony przed logowaniem i nie rotowała go po udanej autentykacji. W...
Jeden link i masz dostęp do chmury: wykrycie SSRF w mikroserwisie generowania PDF
Podczas testów penetracyjnych aplikacji webowej w modelu mikroserwisów wykryliśmy podatność SSRF (Server-Side Request Forgery) w module generowania PDF. System przyjmował URL do “załącznika” i pobierał go po stronie serwera, bez wystarczających ograniczeń. W...
Jedno pole w GraphQL i nagle jesteś „innym klientem” (Multi-Tenant IDOR)
Podczas testów penetracyjnych platformy B2B SaaS (model multi-tenant) wykryliśmy podatność typu IDOR/BOLA w GraphQL, która pozwalała użytkownikowi z firmy A pobrać wybrane dane firmy B przez podmianę identyfikatora w zapytaniu. Backend poprawnie uwierzytelniał...
Zakupy za grosze: wykrycie podatności Price Manipulation w checkout e-commerce
Podczas testów penetracyjnych aplikacji mobilnej i API dużego e-commerce (RTV/AGD) znaleźliśmy podatność typu Price Manipulation w procesie checkoutu. Aplikacja wysyłała wartość koszyka do bramki płatności w JSON i backend jej ufał (bez ponownego przeliczenia po...
Niewidzialny podatek: wykrycie i remediacja luki BOLA w API fintechu
Podczas audytu API dla fintechu (neo-bank, region CEE) znaleźliśmy klasyczną podatność BOLA (Broken Object Level Authorization) w nowej funkcji „Konta rodzinne”. Token JWT poprawnie uwierzytelniał użytkownika, ale część endpointów nie sprawdzała, czy ma on prawo do...