Пользователь
Опасная уязвимость в популярной библиотеке Sequelize
Кейс оформлен с plain text для наглядности, чтобы показать, что можно вытащить, используя username и password при запросе. И несмотря на то что эти символы исправлены, batching все равно работает. Проблема заключается не в самой библиотеке, а в том как она используется. В статье указано, что уязвимость существует из-за нестрогой типизации. Если бы при вызове ORM использовались строковые значения на уровне бэкенда, то такие методики уже бы не сработали.
Опасная уязвимость в популярной библиотеке Sequelize
Все верно, давно deprecated. Однако, это было обнаружено случайно в одном из решений, используемом заказчиком и позволило обойти ограничения и получить несанкционированный доступ. Если на проектах сегодня встречается эта уязвимость, значит, угроза есть. Описание разных вариантов эксплуатации — это краткое простое руководство, как не совершить ошибку в ситуации, когда совершить ее достаточно легко.