Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Форум ZiSMO.biz
10
Сообщений в теме: 10

ONLINE Отправлено

NOVES
группа пользователя

    Premium раскрутка VK/Insta smm-vtope.ru

  • Cообщений: 17 907
  • Поинты: 2 017
  • Предупреждений: 0
  • Онлайн:131д 1ч 10м
700

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

 

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими. 


Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.

 

prohodil_mimo

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.

 

Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.

 

пресс-служба «ВКонтакте»

 

 

 

Источник.





14099701.gif957067afe3a7.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
785c74551bfc.gifimage.gif Раскрученные аккаунты VK с друзьями - zismo.biz/topic/744195
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 534
  • Друзей:29
  • Поинты: 839
  • Предупреждений: 0
  • Онлайн:148д 15ч 52м
821

Собственно, ответ:

 

Здесь нет бага. Вы путаете два не связанных механизма.
OAuth для авторизации сторонних приложений и авторизацию/разлогин самого сайта.

Фактически сайт ВК это такое же приложение и вы разлогинитесь в нем, вместо своего.

Чтобы сделать разлогин для токена вам нужно использовать методы API с указанием токена, если такие там предусмотрены


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Glor
группа пользователя

    no mercy

  • Cообщений: 11 382
  • Друзей:383
  • Поинты: 24 554
  • Предупреждений: 0
  • Онлайн:272д 14ч 14м
1 171

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Seller-top
группа пользователя

    ♥seller-top.deer.io♥

  • Cообщений: 2 240
  • Поинты: 3
  • Предупреждений: 60
187

Собственно, ответ:

Опача , а это новые в составе?

 

По поводу темы , что-то как то сыровато , вот бы исходники слить бы сюда


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Vl-ad-im-ir
группа пользователя

    Всем Бобра)

  • Cообщений: 23 354
  • Друзей:266
  • Поинты: 36 474
  • Предупреждений: 0
  • Онлайн:124д 8ч 53м
948

Фича у них такая)) С голосами лучше сделали бы такую фичу! (giggle)


Сообщение отредактировал Vl-ad-im-ir: 25 07 2016 - 17:01

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

L1ke
группа пользователя

    ~

  • Cообщений: 7 534
  • Друзей:29
  • Поинты: 839
  • Предупреждений: 0
  • Онлайн:148д 15ч 52м
821

>> По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

Ребятки с юмором там работают :)

 

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg


Сообщение отредактировал L1ke: 25 07 2016 - 17:01

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

cool.baby
группа пользователя

    СКУПКА КУПОНОВ

  • Cообщений: 2 059
  • Друзей:38
  • Поинты: 5
  • Предупреждений: 20
  • Онлайн:23д 33м
69

интересная новость


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Glor
группа пользователя

    no mercy

  • Cообщений: 11 382
  • Друзей:383
  • Поинты: 24 554
  • Предупреждений: 0
  • Онлайн:272д 14ч 14м
1 171

Они там вообще поехавшие. Думают, что их новый дизайн настолько идеален, что по поводу багов никто не обратиться, к примеру:

 

 

xqwMrhgjAn8.jpg

 

по моему они не читали, что ты им там пишешь, робот отвечает ) 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

starter80
группа пользователя

    Накрутка Instagram https://vk.cc/6zI6RB

  • Cообщений: 11 326
  • Друзей:201
  • Поинты: 9 262
  • Предупреждений: 10
  • Онлайн:244д 11м
1 152

Этот способ ещё ночью слили  (monkey)


Ключи HideMy, VpnMonster 3b29e24665de.gif Steam игры — Программы, Prоxy и VPN
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

Gloombard
группа пользователя

    Уровень 1

  • Cообщений: 51
  • Друзей:4
  • Поинты: 4
  • Предупреждений: 70
1

 

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

 

 

 

2b617a108f8a8b.jpg

 

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

 

 

 

 

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

 

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

 

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

 

 

 

 

Источник.

 

Только что видел такое на BHF


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

divert
группа пользователя

    Уровень 3

  • Cообщений: 4 111
  • Друзей:213
  • Поинты: 1 415
  • Предупреждений: 0
  • Онлайн:32д 2ч 11м
52

Я уж подумал какой-то действительно новый баг)


    • 0
  • Наверх
  • Ответить



Напишите свое сообщение