Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию



Эксперт смог успешно опубликовать ссылку в обход номера телефона.

Исследователь безопасности Максим Яремчук обнаружил в соцсети «ВКонтакте» уязвимость, позволяющую частично обойти аутентификацию. Эксперт подробно описал процесс обхода.

При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона. Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почты\пароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками.

По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.

Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.

В процессе обхода аутентификации Яремчук обнаружил уязвимость, позволяющую полностью обойти номер телефона, однако ее подробности пока не раскрываются.

Читайте также:  В 2016 году 4,2 млрд записей оказались в Сети в результате утечек данных


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

семь + 6 =

наверх