Comments 58
Администрация ВКонтакте выплатила вознаграждение в 10к голосов.
Лучше бы бусами расплатились…
Нашедшему уязвимость была предоставлена возможность вывести голоса, например получив деньги на банковскую карту.
Почему не дали деньги сразу? Он за них купил бы голоса, если бы захотел.
Думаю это технически проще и быстрей. Т.е. техникам проще начислить голоса, чтобы человек их обналичил по готовой процедуре, чем прогонять это вознаграждение через свою бухгалтерию, а там бюрократия поди огого какая. Не из своего же кармана они отстегивают.
Можно, только если вы разработчик приложений.

Чтобы стать таковым, нужно быть автором хотя бы одного приложения, прошедшего модерацию.
Угу. С этим мне помогли ребята из администрации ВКонтакте. На время одобрили одно приложение, через которое я и вывел все полученные голоса.
Это же через бухгалтерию все придется проводить, подряд или договор или черт знает что еще.
Открытки всякие и прочую дребедень :)

А вообще да, пожадничали. Гораздо выгодней было бы найти уязвимость в Telegram.
Чашку кофе, рюмку сухого вина, бутылку лимонада. Только тебя это не касается, вы с Копытиным здесь останетесь
10к голосов.

Это как-то не честно, понимаю, что их потом можно продать(а можно ли?) за реальные деньги, но всё же.
Не спорю, что проще в базе циферку поменять, чем делать денежные операции.
Но лично мне стало бы обидно.
Да, можно вывести через партнеров, это чистыми выйдет около 30к рубликов:
Выплата 1 голоса – 3.54 рубля с НДС
Ввод 1 голоса – 6.4 рубля

Парадокс, но даже тут владельцы вк удержат 45% от «премии» :)
Тогда выгоднее искать группы/людей/сообщества где купят хотя бы по цене 70-80% от официальной цены покупки.
Если есть возможность передавать голоса, то я ему голоса, он мне на эл. кошелек монетки
Ограничение при передаче — не более 100 голосов, кажется, в сутки.

За год рассчитаетесь :)

Кроме того, если вас уличат в продаже на черном рынке, то забанят и вас, и ваших партнеров со всеми приложениями и группами.
В WebMoney с помощью кода протекции вполне безопасно можно провернуть
Ребят, ну нет программы вознаграждения vk.com. Не будут же разработчики свои зарплаты раздавать :)

Мне тут птичка нашептала, что скоро будет полноценная программа bugbounty, тогда уже можно ругаться на малые выплаты.
UFO landed and left these words here
и видимо зря нет. если подумать, поощрять деньгами добропорядочных пользователей это очень хорошая идея. иной призадумается «а стоит ли мне сообщать об уязвимости или же лучше использовать её в личных целях?», посмотрит на то что вконтакте расплачивается фантиками, да и не станет писать в саппорт
Удивительное совпадение, недавно пару сайтов проверял по этой схеме — добавляем в закладки то, что не могли бы добавить при нормальных условиях. Уже третий сайт из известных, который подвержен раскрытию приватной информации через закладки (избранное). Видимо это самая непроверяемая, безобидная на первый взгляд функция. Знал бы, что во вконтакте есть закладки — давно бы нашел и эту багу :)
Ну а фотки знаменитостей где? Надо было хотя бы парочку для привлечения внимания выложить)
Поясните, пожалуйста, подробнее, как вы от имени чужих приложений запросы делали?
Даже если разработчик определенного приложения не запросил нужные вам права, то вы все равно можете делать нужные вам запросы?
Это тоже было исправлено?
Это обычное поведение. Не разработчик приложения запрашивает права, а я сам:

https://oauth.vk.com/authorize?client_id=#{app_id}&response_type=token&display=mobile&scope=474367

Таким образом авторизую самого себя в этом приложении и получаю токен.

Если вы про scope, то он в настройках приложений не захардкожен и легко меняется на клиенте на любой желаемый.
В настройках приложения есть же адрес сервера, с которого принимаются запросы. Или он не для этого?
Администрация ВКонтакте выплатила вознаграждение в 10к голосов.

Как забавно читать, когда администрация какого-либо проекта расплачивается «фантиками», которые ей самой ничего не стоят.
del

хоть так отблагодарили
все показано круто.

и на этом им нужно сказать спасибо и Автору за то что все так хорошо расписал!
Сам баг простой и вк должно быть стыдно, как всегда. Но реализация крутая, использование execute 25 запросов и идея использования токенов от лица трастовых приложений тоже хорошая!

Я пару лет назад такое распараллеливание использовал для нахождения людей по ссылкам на фотографии :)

Ого. Огромная просьба — а можете выложить скрипт для запросов к ВК?
Перевожу одну систему с JS на Ruby, ой как не хочется переписывать многопоточную молотилку запросов с execute.
Прошел бы мимо, но не увидел комментария примерно следующего содержания: «Люк постарался, молодец!»
Вот интересно — как закрыли? Таки начали проверять права при доступе или просто усложнили процедуру подбора URL?
UFO landed and left these words here
UFO landed and left these words here
Разве одно и то же?
Вроде как тогда писали в саппорт, ВК сказал, что это не баг, а фича.
Хочу обсудить по поводу частоты запросов.
«Со стороны клиента можно обращаться к методам API не чаще 3 раз в секунду.» (из доки ВК)
Т.е. твой скрипт с токеном может делать всегда только 3 запроса в сек, и это можно только распараллелить, но не ускорить. Причем не важно токен какого приложения (насколько популярного).

А истории про 35 в секунду — это серверные терки, в описанном случае невозмножно было использовать, я прав?
Можно ускорить, если посылать запросы от имени нескольких пользователей или приложений, т.к. ограничение в 3 запроса относится к одному клиенту одного приложения.

А чтобы использовать силу 35 запросов, вам нужно иметь приложение с количеством участников, превышающих миллион (подробности в доках vk.com/dev/api_requests)
Only those users with full accounts are able to leave comments. Log in, please.