Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Форум ZiSMO.biz
10
Сообщений в теме: 10

OFFLINE Отправлено

NOVES
группа пользователя

    Помощник TiR

  • Cообщений: 17 106
  • Поинты: 1 591
  • Предупреждений: 0
  • Онлайн:114д 19ч 24м
630

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

 

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими. 


Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.

 

prohodil_mimo

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.

 

Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.

 

пресс-служба «ВКонтакте»

 

 

 

Источник.





36ef3fae8db0.gifefa2d7905772.gif

efa2d7905772.gifimage.gif

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 488
  • Друзей:36
  • Поинты: 2 725
  • Предупреждений: 0
  • Онлайн:139д 14ч 47м
731

Собственно, ответ:

 

Здесь нет бага. Вы путаете два не связанных механизма.
OAuth для авторизации сторонних приложений и авторизацию/разлогин самого сайта.

Фактически сайт ВК это такое же приложение и вы разлогинитесь в нем, вместо своего.

Чтобы сделать разлогин для токена вам нужно использовать методы API с указанием токена, если такие там предусмотрены


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

Glor
группа пользователя

    NO MERCY

  • Cообщений: 10 900
  • Друзей:328
  • Поинты: 18 238
  • Предупреждений: 0
  • Онлайн:234д 5м
1 016

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Seller-top
группа пользователя

    ♥seller-top.deer.io♥

  • Cообщений: 2 240
  • Поинты: 3
  • Предупреждений: 60
187

Собственно, ответ:

Опача , а это новые в составе?

 

По поводу темы , что-то как то сыровато , вот бы исходники слить бы сюда


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

Vl-ad-im-ir
группа пользователя

    Всем Бобра)

  • Cообщений: 19 384
  • Друзей:222
  • Поинты: 28 271
  • Предупреждений: 0
  • Онлайн:93д 15ч 44м
580

Фича у них такая)) С голосами лучше сделали бы такую фичу! (giggle)


Сообщение отредактировал Vl-ad-im-ir: 25 07 2016 - 17:01

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 488
  • Друзей:36
  • Поинты: 2 725
  • Предупреждений: 0
  • Онлайн:139д 14ч 47м
731

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)

 

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg


Сообщение отредактировал L1ke: 25 07 2016 - 17:01

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

cool.baby
группа пользователя

    СКУПКА КУПОНОВ

  • Cообщений: 2 059
  • Друзей:38
  • Поинты: 5
  • Предупреждений: 20
  • Онлайн:23д 33м
69

интересная новость


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

Glor
группа пользователя

    NO MERCY

  • Cообщений: 10 900
  • Друзей:328
  • Поинты: 18 238
  • Предупреждений: 0
  • Онлайн:234д 5м
1 016

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg

 

по моему они не читали, что ты им там пишешь, робот отвечает ) 


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

starter80
группа пользователя

    Заработок для всех https://goo.gl/qb8pvb

  • Cообщений: 10 057
  • Поинты: 4 211
  • Предупреждений: 20
  • Онлайн:194д 2ч 53м
947

Этот способ ещё ночью слили  (monkey)


Ключи HideMy, VpnMonster 3b29e24665de.gif Steam игры — Программы, Prоxy и VPN
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Gloombard
группа пользователя

    Новичок

  • Cообщений: 51
  • Друзей:4
  • Поинты: 4
  • Предупреждений: 70
1

 

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

 

 

 

Источник.

 

Только что видел такое на BHF


    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

divert
группа пользователя

    Продвинутый

  • Cообщений: 4 070
  • Друзей:187
  • Поинты: 1 638
  • Предупреждений: 10
  • Онлайн:27д 1ч 1м
49

Я уж подумал какой-то действительно новый баг)


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение