Конкурс по машинному обучению
С призовым фондом в 100 млн рублей
Условия

Your tokens are my tokens, или история одной [радио]активной XSS на всех сервисах «Комитета»

В закладки

Как-то в мае 2019-го решил я поискать чего интересного на vc.ru. Сервис крупный, информативный и, как показала практика, весьма надёжный и защищённый.

Тем не менее людям свойственно делать ошибки и недочёты. Ну а мне свойственно эти недочеты находить и помогать этим людям их поправить. Таким образом я помогаю хорошим ресурсам и people-сам становиться ещё лучше, и это, как мне кажется, самое главное в любом виде деятельности.

Собственно, мною была найдена возможность вставить произвольный JS-код в тело любой публикуемой новости. Такая брешь в безопасности в случае vc.ru, DTF и TJournal даёт злоумышленнику (но я не такой, честно) следующие возможности:

  1. Писать комментарии от чужого имени.
  2. Накручивать лайки, гайки и вот это всё.
  3. Получить доступ к API Token пользователя, а это уже прямое владение аккаунтом пользователя.

Вот что я отправил администрации ресурса (там же детали самой атаки) и что получил в ответ. Очень порадовала пунктуальность собеседника и скорость реагирования. Всё поправили буквально на следующий день.

Ну и выше — видео P0C. Вроде не сложно, но эффективно ж.
На этом всё, а тебе, читатель, — хорошего всего!

{ "author_name": "Иван Петров", "author_type": "self", "tags": [], "comments": 3, "likes": 32, "favorites": 3, "is_advertisement": false, "subsite_label": "bugs", "id": 75864, "is_wide": false, "is_ugc": true, "date": "Thu, 18 Jul 2019 16:15:14 +0300", "is_special": false }
Трибуна
Кейс «ПолиКап»: как в России появились первые сертифицированные бумажные биоразлагаемые крышки для кофе
Это наш первый продукт на пути к появлению целой линейки биоразлагаемой посуды и другой доступной экоупаковки…
Объявление на vc.ru
0
3 комментария
Популярные
По порядку
6

Что один молодец, что другие молодцы.

Ответить
1

Так вот из-за кого гугл капчу-то ввели на получения токена

Ответить
0

Вознаграждение зажали?

Ответить

Комментарии

null