Открыть список
Как стать автором
Обновить

Комментарии 13

Они, судя по всему, не особо волнуются по поводу некоторых уязвимостей.
Один мой реквест пролежал у них на h1 год с лишком. Я уже и сам забыл о нем. Как-то наткнулся потом, написал. После напоминаний даже ответили, чем-то вроде: «Вот это мы не считаем уязвимостью, а вот об этом мы и без вас знаем, как-нибудь может пофиксим». Пометили «Informative» и закрыли. Сейчас проверил — так и не пофиксили :(
submitted a report to VK.com. Nov 20th (2 months ago)
Это может использоваться для социальной инженерии(фейковая страница ВК).

Пишем на стенку google.com, когда жертва кликает по ссылке, то она открывает новое окно и точно заметит, что это фейковый вк и закроет его, потому что оригинальный vk.com открыт.

Логика этого механизма такова: если домен vk.com — открывает в текущем окне, если чужой домен — то в новом окне.

Обходим это — пишем https://vk.com/away.php?to=http://google.com, жертва открывает фейковую страницу вк в текущем окне и не подозревает, что это не настоящий вк.

Обходим другим способом: https://vk.com.securityz.net.

Если ещё и захостить домен, что сбивает с толку — типа http://vkvk.com/, и ещё ssl купить, то большая база аккаунтов вк гарантирована).

Рекомендации к устранению: Предлагаю поставить на https://vk.com/away.php?to= поставить такую же валидацию, как и на чужие домены.

exe closed the report and changed the status to Informative. Nov 21st (2 months ago)
Это не уязвимость.


Понимаю, не уязвимость, а фича, но пофиксить её необходимо. О ней известно уже 2 года.
Чтобы заблокировать или заморозить страницу пользователя — нужно поделится запрещенной ссылкой у себя на стене и аккаунт сразу заблокируют

Могут еще двушечку дать :(
Чтобы заблокировать или заморозить страницу пользователя — нужно....

Интересно, а как доказать что ты не верблюд.
В этой стране — никак.
Чисто теоретически, если сохраняется IP постера, то можно, если докажешь факт неправомерного доступа к твоему аккаунту.
Эх, бро! Я сталкивался с этим!

https://tjournal.ru/28415-novaya-uyazvimost-vkontakte-snova-pozvolyaet-deanonimizirovat-administratorov-soobshestv
Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.

Через мобильную версию сайта можут получиться баги намного серьезнее( в смысле подобный баг может дать больше простора, ибо м.версия очень отстают от десктопа).
Чем объясняется желание админов оставлять уязвимости открытыми? Однажды на одном популярном сайте нашёл уязвимость, которая позволяла обходить капчу. Написал про неё админу. Не хотел просто так отдавать, но админ предложил только «фантики» этого сайта. Тогда я решил сделать спам-бота. Никак не получалось спамить во много потоков т.к. сайт был под cloudflare. Спустя неделю после моего письма админу эту уязвимость нашли и прикрыли. Я уже забыл про этот случай, но недавно копался в доках к api и нашёл старую капчу, которая удивительно легко поддавалась брутфорсу. Всего 6 вариантов ответа перебирались меньше секунды. Посчитал это уязвимостью, отчитался админу и взял «фантиков» на 300 рублей. Прошло чуть больше недели. Уязвимость не прикрыта.
зато косяк с интерфейсом они попровили на следующий же день после обращения
НЛО прилетело и опубликовало эту надпись здесь
Не касательно багов, а в целом про отношение поддержки и их реакции на репорты пользователей. Например, к моему товарищу постоянно кидают инвайты распространители наркоты (фамилия и имя на А, поэтому есть подозрение, что он первый в списке перебора ботами или что-то вроде того). Паттерн поведения у них очень простой, страница взломанного аккаунта изобилует прочей рекламой, а на аватарке написан id канала в телеграме, куда обращаться за искомым товаром. Поддержка говорит: «Ничего не можем с этим поделать, помечайте такие записи как спам». Походу простой статистический и fraud анализ у них отсутствует как класс, не говорю уже про всякие NN и Deep Learning.
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.