Bug: サーバーの各エンドポイントでBOLAが発生する可能性がある #45
Labels
Comments
claustra01
added
priority: medium
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Overview / 概要
/userや/tokenなどで入力の検証が不十分なため、偶然LINEIDが一致した際にusesテーブルの情報やGoogle認証情報が取得・更新できてしまう可能性があるReproduction Environment / 再現環境
ぜんぶ
Reproduction Steps / 再現手順
Supplementary Information / 補足
ブラウザアプリ遷移の際に有効期限付きトークンなどを発行し、APIリクエスト時にそのトークンを検証することで解決できそう
The text was updated successfully, but these errors were encountered: