С помощью уязвимости в «ВКонтакте» можно частично обходить аутентификацию. Когда пользователь пытается войти в свой аккаунт с другого IP-адреса, «ВКонтакте» требует ввести полный телефонный номер. Если для получения доступа к учетной записи применялся номер телефона и пароль, то у злоумышленника есть возможность выполнять действия в данном аккаунте. Если же процедура входа осуществлялась с помощью электронного почтового адреса и пароля или посредством подмены cookies, то выполнение посторонним лицом действий в аккаунте невозможно. В этом случае атака методом полного перебора не сработает, так как количество попыток ввода телефонного номера ограничивается тремя попытками. Как утверждает исследователь, после выполнения различных POST- и GET-запросов происходила переадресация на веб-страницу проверки безопасности. Можно попробовать выполнить POST-запрос из другого аккаунта (для чего требуется csrf token(hash)), но, по словам Яремчука, удалось обнаружить лишь токен для логаута. Эксп...