#api #facebook #security #facebook-graph-api #penetration-testing
Вопрос:
Я нашел данные пользователей, отправленные через graph API в Facebook без какой-либо кодировки во время тестирования веб-сайта. Ниже приведен запрос на публикацию.
POST /version/id/events?access_token={access_token} HTTP/2
Host: graph.facebook.com
User-Agent: {User-Agent}
Accept: */*
Accept-Language: en-US,
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: {length}
Origin: {Origin}
Referer: https://refererwebsite.com
Connection: close
{
"data":[
{
"event_name":"event_name",
"num_items":"number",
"content_name":"content_name",
"content_ids":["content_id"],
"currency":"currency",
"value":value,
"event_time":eventtime,
"user_data":
{
"external_id":"username"
}
}
]
}
Является ли это правильным способом отправки запроса API graph на Facebook? или это уязвимость? Могу ли я сообщить об этом как об уязвимости?
Любая помощь приветствуется. Заранее спасибо!!
Комментарии:
1. Ну, для начала, конечно, используется HTTPS, поэтому о вашем шифровании позаботятся.
2. Спасибо за информацию!!