Короче на одном сайте в личном кабинете можно изменить пароль и почту юзера, но только зная актуальный пароль. Так же можно поменять имя, адрес и прочую ерунду, для этого ввод пароля не требуется. Дак вот, если подделать запрос на смену имени (добавить юзерпасс и юзеремаил), можно поменять пасс и мыло не зная пароль от акка. Собственно вопрос: как называется данная уязвимость?
Improper access control
Благодарю
Это звучит как mass assignment
Обсуждают сегодня