גיליתי משהו שאני מחשיב כפגיעות עיקרית במוצר SaaS הכולל את שם המשתמש והסיסמה במחרוזת השאילתות של כתובת ה- URL ברישום וכל ניסיון התחברות.
התמיכה הטכנית של השירות אמרה אותי הם מחשיבים את הפגיעות כלא משמעותית, כדרך היחידה לנצל אותה היא לקבל גישה להיסטוריית הדפדפן של המשתמש.
האם הם צדקו בהחלטתם? אני חדש למדי באבטחת מידע, אבל זה עדיין נשמע כמו עצלות מצידם.
דילגתי על שאלה זו, אך לאחר שקראתי את התשובה המצוינת ביותר אני כעת מודאגים עוד יותר מכך שמתעלמים מכך, מכיוון שהנתונים נשלחים באמצעות GET והפרטים מופיעים בטקסט רגיל.