ВКонтакте
С помощью уязвимости в «ВКонтакте» можно частично обходить аутентификацию.
Когда пользователь пытается войти в свой аккаунт с другого IP-адреса, «ВКонтакте» требует ввести полный телефонный номер. Если для получения доступа к учетной записи применялся номер телефона и пароль, то у злоумышленника есть возможность выполнять действия в данном аккаунте. Если же процедура входа осуществлялась с помощью электронного почтового адреса и пароля или посредством подмены cookies, то выполнение посторонним лицом действий в аккаунте невозможно. В этом случае атака методом полного перебора не сработает, так как количество попыток ввода телефонного номера ограничивается тремя попытками.
Как утверждает исследователь, после выполнения различных POST- и GET-запросов происходила переадресация на веб-страницу проверки безопасности. Можно попробовать выполнить POST-запрос из другого аккаунта (для чего требуется csrf token(hash)), но, по словам Яремчука, удалось обнаружить лишь токен для логаута.
Экспертом был случайно найден функционал шаринга ссылки, которая, к удивлению Яремчука, открылась. В итоге исследователь опубликовал ссылку на своей стене. Кроме того, в обход номера телефона можно, помимо ссылок, размещать сообщения. Для этого параметр url должен оставаться пустым.
Кроме того, Яремчук выявил уязвимость, которая позволяет полностью обходить процедуру ввода телефонного номера, но детальная инфо
рмация пока не раскрывается.
Когда пользователь пытается войти в свой аккаунт с другого IP-адреса, «ВКонтакте» требует ввести полный телефонный номер. Если для получения доступа к учетной записи применялся номер телефона и пароль, то у злоумышленника есть возможность выполнять действия в данном аккаунте. Если же процедура входа осуществлялась с помощью электронного почтового адреса и пароля или посредством подмены cookies, то выполнение посторонним лицом действий в аккаунте невозможно. В этом случае атака методом полного перебора не сработает, так как количество попыток ввода телефонного номера ограничивается тремя попытками.
Как утверждает исследователь, после выполнения различных POST- и GET-запросов происходила переадресация на веб-страницу проверки безопасности. Можно попробовать выполнить POST-запрос из другого аккаунта (для чего требуется csrf token(hash)), но, по словам Яремчука, удалось обнаружить лишь токен для логаута.
Экспертом был случайно найден функционал шаринга ссылки, которая, к удивлению Яремчука, открылась. В итоге исследователь опубликовал ссылку на своей стене. Кроме того, в обход номера телефона можно, помимо ссылок, размещать сообщения. Для этого параметр url должен оставаться пустым.
Кроме того, Яремчук выявил уязвимость, которая позволяет полностью обходить процедуру ввода телефонного номера, но детальная инфо
Коментарі
Дописати коментар