Comment hacker une application no-code pour mieux la protéger

– Montrer comment l’info circule sur internet et toutes les données disponibles dans l’inspecteur d’un navigateur
– Montrer que, même si la donnée n’est pas sur la page, elle peut être visible dans le navigateur (ex: montrer info confidentielle qui n’est pas sur la page)
– Expliquer qu’un appel API peut être lu dans le navigateur et servir à en deviner un autre (ex: modifier un record en devinant l’appel pour éditer à partir de l’appel pour lire ce record qui est visible dans le navigateur)
– Ajouter une authentification ne suffit pas, il faut aussi vérifier que la personne qui demande l’info est autorisée à voir cette info spécifique (ex: montrer l’info de quelqu’un d’autre que la personne connectée)
– Protéger le rôle admin à tout prix pour ne pas risquer qu’un ou une hackeuse s’auto-proclame admin et efface toutes nos tables de données.