eduard1337
Продавец
- Статус
- offline
- Регистрация
- 10.12.2016
- Сообщения
- 1,468
- Репутация
- 805
- DarkSeller.in
- Перейти
- Гарант сделок
- 16
Исследователь безопасности Максим Яремчук обнаружил в соцсети «ВКонтакте» уязвимость, позволяющую частично обойти аутентификацию. Эксперт подробно описал процесс обхода.
При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона. Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почты\пароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками.
По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.
Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.
![](https://pp.vk.me/c836320/v836320304/2078a/sU7aiECx75c.jpg)
При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона. Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почты\пароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками.
По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.
Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.