События

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

Исследователь безопасности Максим Яремчук обнаружил в соцсети «ВКонтакте» уязвимость, позволяющую частично обойти аутентификацию. Эксперт подробно описал процесс обхода.

При попытке входа в учетную запись с другого IP-адреса требуется ввести полный номер телефона. Если для доступа к аккаунту использовался номер телефона и пароль, то злоумышленник сможет выполнять действия в учетной записи. Если же вход воспроизводился через адрес электронной почтыпароль или через подмену cookies, то выполнять действия в учетной записи не получится. В данном случае брутфорс-атака работать не будет, поскольку число попыток ввода номера телефона ограничено тремя попытками.

По словам исследователя, выполнение всевозможных POST- и GET-запросов заканчивалось перенаправлением на страницу проверки безопасности. Можно было бы выполнить POST-запрос из другой учетной записи (для этого требуется csrf token(hash)), однако удалось найти только токен для логаута, пояснил Яремчук.

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

Исследователь случайно обнаружил функционал шаринга ссылки, и на его удивление ссылка открылась. В результате эксперт мог успешно опубликовать ссылку на своей стене. Также в обход номера телефона можно публиковать не только ссылки, но и сообщения. Для этого нужно оставить параметр url пустым.

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

Уязвимость в «ВКонтакте» позволяет частично обойти аутентификацию

В процессе обхода аутентификации Яремчук обнаружил уязвимость, позволяющую полностью обойти номер телефона, однако ее подробности пока не раскрываются.

Автор: Сергей Куприянов
27.01.2017 (17:40)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.