Your tokens are my tokens, или история одной [радио]активной XSS на всех сервисах «Комитета»
Как-то в мае 2019-го решил я поискать чего интересного на vc.ru. Сервис крупный, информативный и, как показала практика, весьма надёжный и защищённый.
Тем не менее людям свойственно делать ошибки и недочёты. Ну а мне свойственно эти недочеты находить и помогать этим людям их поправить. Таким образом я помогаю хорошим ресурсам и people-сам становиться ещё лучше, и это, как мне кажется, самое главное в любом виде деятельности.
Собственно, мною была найдена возможность вставить произвольный JS-код в тело любой публикуемой новости. Такая брешь в безопасности в случае vc.ru, DTF и TJournal даёт злоумышленнику (но я не такой, честно) следующие возможности:
- Писать комментарии от чужого имени.
- Накручивать лайки, гайки и вот это всё.
- Получить доступ к API Token пользователя, а это уже прямое владение аккаунтом пользователя.
Вот что я отправил администрации ресурса (там же детали самой атаки) и что получил в ответ. Очень порадовала пунктуальность собеседника и скорость реагирования. Всё поправили буквально на следующий день.
Ну и выше — видео P0C. Вроде не сложно, но эффективно ж.
На этом всё, а тебе, читатель, — хорошего всего!
Что один молодец, что другие молодцы.
Так вот из-за кого гугл капчу-то ввели на получения токена
Вознаграждение зажали?