ITS Billa Travel o svých zákaznících prozrazuje na webu až příliš

Lupa.cz 17.06.2016 11:08 Je to klasická bezpečnostní chyba, kde se autor webu spoléha na to, že nikdo nepoužije veřejně dostupnou URL. A hlavně, že nikdo nebude měnit parametr. Pokud si koupíte zájezd, tak asi nepředpokládáte, že se kdokoliv může dozvědět vaše jméno, příjmení, e-mailovou adresu, částku k zaplacení a stav vaší platby. Přitom u ITS Billa Travel stačí málo, vzít adresuwww.itsbilla.cz/platba?idOrder= a pouze měnit číselný parametr. Tím je, samozřejmě, číslo objednávky. Můžete je tak postupně procházet všechny.