Исследователь безопасности Максим Яремчук обнаружил в соцсети «ВКонтакте» уязвимость, позволяющую частично обойти аутентификацию. Эксперт подробно описал процесс обхода. При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона.
Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почтыпароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками. По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.
Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.
ТОП 10 БАГОВ ВКОНТАКТЕ — КАК ЗАБЛОКИРОВАТЬ ЛЮБУЮ СТРАНИЦУ | КАК СОЗДАТЬ СТРАНИЦУ БЕЗ НОМЕРА
В процессе обхода аутентификации Яремчук обнаружил уязвимость, позволяющую полностью обойти номер телефона, однако ее подробности пока не раскрываются.Что, если твоя защита — это главная СЛАБОСТЬ?
Подпишись на наш ТГ канал и будь на шаг впереди хакеров .
Источник: www.securitylab.ru
Что за уязвимость в вконтакте
Будь в курсе последних новостей из мира гаджетов и технологий
iGuides для смартфонов Apple
Разработчик случайно обнаружил возможность читать переписки пользователей «ВКонтакте» (обновлено)
Денис Черкашин — 7 марта 2018, 11:55
Анонимный CEO-разработчик Yoga2016 рассказал изданию TJournal об уязвимости в «ВКонтакте», которая позволяет читать личные сообщения пользователей через сервис статистики веб-сайтов SimilarWeb. Представители социальной сети заявили, что проблему создали сторонние разработчики, и «ВКонтакте» не имеет к ней никакого отношения.
Платная версия SimilarWeb позволяет просматривать 300 самых популярных материалов любого сайта. Он использовал сервис в случае со «ВКонтакте», но вместо ожидаемого результата получил ссылки на личные сообщения 300 случайных пользователей.
Чтобы просмотреть переписки, разработчик добавил к адресам страниц расширение «.xml». В полученных данных можно прочитать текстовые сообщения, а также просмотреть отправленные смайлы, фото и id страниц пользователей. Разработчик отметил, что переписки пересекаются между собой, хотя пользователи никак не связаны и не писали друг другу.
На скриншоте продемонстрированы ссылки на переписки некоторых пользователей «ВКонтакте», полученные через SimilarWeb.
Алгоритм, по которому сервис отбирает страницы из «ВКонтакте», неизвестен. У большинства из этих пользователей меньше 50 друзей и слабая активность на странице. Yoga2016 отправил сообщение одному из участников полученного списка, после чего сумел найти его по ссылке из SimilarWeb.
Yoga2016 рассказал, что подавал заявку в Bounty-программу от «ВКонтакте», где пользователи могут сообщать об уязвимости соцсети и получать за это деньги от разработчиков. По его словам, во «ВКонтакте» на сообщение не отреагировали, а ветку с обсуждением удалили.
На вопросы TJournal в пресс-службе «ВКонтакте» рассказали, что уязвимость не связана с проблемой соцсети, а создана разработчиками, которые имеют доступ к API. К примеру, они могут использовать личную переписку в альтернативных клиентах для мессенджера «ВКонтакте» с разрешения пользователей.
«Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений.
Уязвимость «ВКонтакте» позволила хакеру узнать номера Дурова и Медведева
Хакер под ником Алекс Ребл обнаружил уязвимость в новом дизайне «ВКонтакте», с помощью которой он узнал привязанные к аккаунтам номера телефонов и адреса электронной почты известных личностей, среди которых оказались основатель соцсети Павел Дуров и российский премьер-министр Дмитрий Медведев. Об этом сообщается в группе «Код Дурова» во «ВКонтакте».
По словам Михаила Верника, одного из администраторов сообщества, обнаруживший уязвимость Ребл пытался связаться в соцсети со своей бывшей девушкой Катей. Для этого он добавил в закладки (одна из функций соцсети) ее подруг и внезапно обнаружил ошибку, которая позволила ему видеть скрытые данные других пользователей.
«Сервер отдает больше данных, чем нужно, включая те, которые в закрытом доступе. По сути нужно было всего лишь добавить человека в закладки, далее новый дизайн сам предоставлял номер. Мне удалось получить номер Павла Дурова — я не поверил. Затем получил номер Дмитрия Медведева — тут я понял, что это конкретный ляп», — сообщил хакер.
Также ему удалось заполучить телефонные номера главного разработчика «ВКонтакте» Олега Илларионова и операционного директора соцсети Андрея Рогозова.
Ребл заявил, что попытался привлечь внимание администрации к проблеме, но сотрудники «ВКонтакте» попросили его разместить отчет об ошибке на HackerOne, платформе, через которую социальная сеть награждает пользователей за найденные уязвимости.
В сообщении, опубликованном в соцсети вечером 29 августа, Ребл сообщил, что ему отказали в полагающейся ему денежной выплате, к которой хакер якобы и не стремился.
По словам Рогозова, уязвимость нового дизайна «ВКонтакте» устранена.
Источник: lenta.ru