Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Форум ZiSMO.biz
10
Сообщений в теме: 10

OFFLINE Отправлено

NOVES
группа пользователя

    Помощник TiR ツ

  • Cообщений: 14 232
  • Поинты: 12 532
  • Предупреждений: 0
  • Онлайн:85д 11ч 22м
522

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

 

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими. 


Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.

 

prohodil_mimo

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.

 

Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.

 

пресс-служба «ВКонтакте»

 

 

 

Источник.





vTjidgO.pngCmllNEp.png
yr8fEDt.jpglDz0Owe.jpg
    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 357
  • Друзей:31
  • Поинты: 148
  • Предупреждений: 0
  • Онлайн:112д 7ч 17м
646

Собственно, ответ:

 

Здесь нет бага. Вы путаете два не связанных механизма.
OAuth для авторизации сторонних приложений и авторизацию/разлогин самого сайта.

Фактически сайт ВК это такое же приложение и вы разлогинитесь в нем, вместо своего.

Чтобы сделать разлогин для токена вам нужно использовать методы API с указанием токена, если такие там предусмотрены


proxy6_468.png
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Glor
группа пользователя

    C# Developer

  • Cообщений: 9 819
  • Друзей:223
  • Поинты: 370
  • Предупреждений: 0
  • Онлайн:186д 10ч 18м
752

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)


image1gif_2013935_22758455.gif

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Seller-top
группа пользователя

    ♥seller-top.deer.io♥

  • Cообщений: 2 240
  • Поинты: 3
  • Предупреждений: 60
187

Собственно, ответ:

Опача , а это новые в составе?

 

По поводу темы , что-то как то сыровато , вот бы исходники слить бы сюда


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Vl-ad-im-ir
группа пользователя

    С Первым Снегом ❄

  • Cообщений: 12 700
  • Друзей:155
  • Поинты: 11 587
  • Предупреждений: 0
  • Онлайн:59д 24м
278

Фича у них такая)) С голосами лучше сделали бы такую фичу! (giggle)


Сообщение отредактировал Vl-ad-im-ir: 25 07 2016 - 17:01

b96acd062e30.gif

    • 0
  • Наверх
  • Ответить

ONLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 357
  • Друзей:31
  • Поинты: 148
  • Предупреждений: 0
  • Онлайн:112д 7ч 17м
646

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)

 

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg


Сообщение отредактировал L1ke: 25 07 2016 - 17:01

proxy6_468.png
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

cool.baby
группа пользователя

    СКУПКА КУПОНОВ

  • Cообщений: 2 059
  • Друзей:38
  • Поинты: 15
  • Предупреждений: 20
  • Онлайн:23д 33м
68

интересная новость


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Glor
группа пользователя

    C# Developer

  • Cообщений: 9 819
  • Друзей:223
  • Поинты: 370
  • Предупреждений: 0
  • Онлайн:186д 10ч 18м
752

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg

 

по моему они не читали, что ты им там пишешь, робот отвечает ) 


image1gif_2013935_22758455.gif

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

starter80
группа пользователя

    Заработок для всех https://goo.gl/qb8pvb

  • Cообщений: 8 836
  • Поинты: 23 990
  • Предупреждений: 20
  • Онлайн:150д 7ч 44м
737

Этот способ ещё ночью слили  (monkey)


Самая дешёвая капча тут capcha3.gif + Отличная возможность заработать ботом ($) на вводе капчи  

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Gloombard
группа пользователя

    Новичок

  • Cообщений: 51
  • Друзей:4
  • Поинты: 4
  • Предупреждений: 70
1

 

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

 

 

 

Источник.

 

Только что видел такое на BHF


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

divert
группа пользователя

    Продвинутый

  • Cообщений: 3 813
  • Друзей:164
  • Поинты: 1 097
  • Предупреждений: 30
  • Онлайн:21д 3ч 30м
45

Я уж подумал какой-то действительно новый баг)


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение