Kerentanan API di Wordle membuka jawaban, membuka pintu bagi potensi peretasan
togel

Kerentanan API di Wordle membuka jawaban, membuka pintu bagi potensi peretasan

Seorang peneliti keamanan telah menemukan kerentanan dalam game online Wordle milik New York Times yang tidak hanya mengungkapkan solusi untuk teka-teki kata harian tetapi juga mengekspos antarmuka pemrograman aplikasinya terhadap potensi peretasan.

Dirinci hari ini oleh David Thompson, peneliti keamanan di Noname Security dengan judul “Tomorrow’s Wordle is ‘PWNED!’,” kerentanan ditemukan menggunakan alat pengembang bawaan Google Chrome. Thompson menemukan jawaban harian dengan bantuan API berformat JSON.

Jalan untuk menemukan jawabannya semudah mengunjungi situs web Wordle, mengeklik tab “jaringan” di alat pengembang Chrome, lalu memilih opsi filter “Ambil/XHR”. Di sel “Permintaan”, mengklik JSON API dengan tanggal hari ini akan menampilkan permintaan GET API. Kemudian klik pada tab “Respons” dan jawabannya ada di sana di depan mata.

Thompson juga menemukan cara untuk mengungkap jawaban teka-teki Wordle hari berikutnya dengan menggunakan antarmuka baris perintah untuk mendapatkan file .json untuk tanggal yang berbeda. Nama editor juga disertakan dalam informasi yang dikembalikan beserta solusinya.

Kemampuan untuk mendapatkan informasi digambarkan sebagai kesalahan umum saat menulis dan menerbitkan API. Dalam kasus Wordle, kerentanan melanggar OWASP API Security Top 10 terkait paparan data yang berlebihan dan otorisasi tingkat fungsi yang rusak.

Jadi peneliti menemukan cara licik untuk menemukan jawaban atas Wordle – bukan akhir dari dunia, tetapi dalam kata-kata Thompson, selanjutnya adalah bagian yang menakutkan. Dia juga menemukan bahwa mungkin untuk mengubah jawaban teka-teki di masa depan, bukan untuk menipu tetapi untuk menciptakan masalah dengan mengubah kata menjadi sesuatu yang menyinggung atau menghasut.

Kerentanan yang sama yang mengungkap jawaban memungkinkan metode POST untuk mengubah item yang dilayani oleh API. Pada titik ini, Thompson menghubungi New York Times di bawah kebijakan pengungkapan tanggung jawab Noname untuk memberitahukan masalah tersebut.

“The New York Times mungkin perlu mengubah logika (atau izin) backend sehingga upaya ‘menulis’ apa pun tidak akan diizinkan,” kata Thompson. “Dalam skenario terburuk, mereka perlu mengubah aplikasi sedemikian rupa sehingga jawabannya tidak meninggalkan server sampai pengguna menjawab dengan benar.”

Gambar: Waktu New York

Tunjukkan dukungan Anda untuk misi kami dengan bergabung bersama para pakar Cube Club dan Komunitas Acara Cube kami. Bergabunglah dengan komunitas yang mencakup Amazon Web Services dan CEO Amazon.com Andy Jassy, ​​pendiri dan CEO Dell Technologies Michael Dell, CEO Intel Pat Gelsinger, dan banyak tokoh dan pakar lainnya.

Untuk kala ini bermain togel sidney dan result hk sangatlah mudah, para pemain memadai bermodal smartphone dan jaringan internet untuk mampu melacak bandar togel sidney dan toto sgp di pencarian google. Namun, wajib kamu mengetahui tidak semua situs togel sidney dan toto sgp yang tersedia di pencarian google dapat kami percayai. Karena terhadap sementara ini telah terdapat ratusan web site togel online penipuan yang hanya menginginkan mencapai keuntungan sepihak. Oleh dikarenakan itu kini kami memberi saran kamu untuk bermain togel sidney dan togel singapore di situs terpercaya dan formal seperti