Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

APSYHEA

Модератор
Команда форума

APSYHEA

Модератор
Команда форума
15 Янв 2017
168
55
Исследователь безопасности Максим Яремчук обнаружил в соцсети «ВКонтакте» уязвимость, позволяющую частично обойти аутентификацию. Эксперт подробно описал процесс обхода.

При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона. Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почты\пароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками.

По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.

Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.
В процессе обхода аутентификации Яремчук обнаружил уязвимость, позволяющую полностью обойти номер телефона, однако ее подробности пока не раскрываются.

Материал взять с другого ресурса и является копипастой.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя