{"id":14275,"url":"\/distributions\/14275\/click?bit=1&hash=bccbaeb320d3784aa2d1badbee38ca8d11406e8938daaca7e74be177682eb28b","title":"\u041d\u0430 \u0447\u0451\u043c \u0437\u0430\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u044e\u0442 \u043f\u0440\u043e\u0444\u0435\u0441\u0441\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435 \u043f\u0440\u043e\u0434\u0430\u0432\u0446\u044b \u0430\u0432\u0442\u043e?","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"f72066c6-8459-501b-aea6-770cd3ac60a6"}
Офтоп
Сергей Кашатов

Уязвимость в ICQ позволяла присоединится абсолютно к любому чату

Всем привет, сегодня я хочу рассказать вам историю о том как я обнаружил уязвимость в ICQ.
Которая позволяла подключится абсолютно к любому чату по его chat.agent`y.

Уязвимость была в api.icq.com.
Метод был для добавление друзей в чат.
mchat/AddChat
Параметры метода:
&aimsid= (Это наш секретный ключ аккаунта)&c=WebIM.jscb_tmp_c12813(какой то лог)&chat_id[email protected] (собственно уязвимый метод, сюда пишется id чата)&members=740645342 (Тут должен быть uin друга, но подставляли свой uin.)

Таким образом составляя запрос, мы подключались абсолютно к любому чату.

Сергей Кашатов

Уязвимость довольно таки серьёзная, но у данной уязвимости был ещё один козырь.
Когда я подключался в чат где меня никогда не было, у меня подгружалась полная история чата, до моего присутствия там.

Репорт уязвимости на hackerone

После обнаружение уязвимости я сразу же пошёл на hackerone.com
Отрепортил проблему в ICQ, и ждал ответа.
Apr 23rd(2 monthsago)



Сергей Кашатов

Спасибо, проверим и обсудим текущее поведение с разработчиками.

Ответ от команды ICQ.

После этого я стал ждать...
И вот мне пришёл ответ, которому я очень удивился..

Добрый день!

Мы не подтверждаем наличия уязвимости. Остальные находки, если таковые имеют место быть, пожалуйста, отдельными репортами.

Ответ от команды ICQ.

Я стал очень долго доказывать, то что уязвимость есть.
И решил немного припугнуть ребят из команды ICQ.

Вы не адекватный? Я присоединяюсь совершенно к любому чату каков он бы ни был, дак еще и могу просмотреть то о чем общались люди до меня. Хорошо раз не считаете уязвимостью. Буду юзать для не хороших всего доброго.

Сергей Кашатов

Всё это дело затянулось аж до мая, и вот мне наконец-то дали положительный ответ!

May 11th

Добрый день!

Мы подтверждаем наличие проблемы безопасности и взяли её в работу. Об исправлении мы дополнительно сообщим. Выплата будет назначена в течение 1 недели.

Команда ICQ

Через 5 дней уязвимость была исправлена.

Добрый день!

Уязвимость в рамках присланного вами репорта исправлена. Проверьте, пожалуйста, что это так.

Команда ICQ

Я подтвердил исправление, и на следующий день получил награду за уязвимость в размере $1000.

Спустя 4 недели репорт открыли для показа миру)

В общем то как то так.
Всем спасибо.
Ссылка на репорт:

ICQ disclosed on HackerOne: api.icq.com…
It was possible to join the non-public chat by id, which is brutable if "Join with approval"...
hackerone.com
4 показа
235 открытий
0
4 комментария
Pavel Ivanov

Это же не Хабр...

Ответить
Развернуть ветку
Сергей Кашатов
Автор

Не вижу разницы, тут и такое постят)

Ответить
Развернуть ветку
Pavel Ivanov

Мне казалось, VC про бизнес...

Ответить
Развернуть ветку
Сергей Кашатов
Автор

Ну это тоже бизнес.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Написать комментарий...
1 комментарий
Раскрывать всегда