Уязвимость в Одноклассниках могла нанести не мало бед пользователям
Всем привет, решил я зайти на Одноклассники, да посмотреть как же там обстоят дела по защите данных.
В первую очередь начал проверять приватность таких файлов как фотки/видео/.
Но это не привело меня к успеху.
Итак я решил перейти уже в «Личные Сообщения».
Увидел загрузку файлов, так уже хорошо…
Загрузил файл и увидел кое-что интересное.
Ссылка на скачку файла была такой
(Сейчас она не действительна).
https://ok.ru/web-api/messages/attach/download/21146852/PRIVATE_000000854965066800000089a75d3f290a00000164659a956c20bc0000000000000000
Хм, интересно…
Я решил изменить id файла с «21146852» на «21146842»
Вау я смог скачать какой то файл, это была фотография. (Этим способом можно было скачать всё что угодно, файлы любого формата который пользователь кому то отправлял).
Таким образом я нашёл вполне не плохую уязвимость, до которую мог найти совершенно любой человек, и использовать её не в благих целях, например сливать на всякие форумы фотографии/видео личного характера. Ну я думаю вы понимаете о чём я. Читать дальше →
В первую очередь начал проверять приватность таких файлов как фотки/видео/.
Но это не привело меня к успеху.
Итак я решил перейти уже в «Личные Сообщения».
Увидел загрузку файлов, так уже хорошо…
Загрузил файл и увидел кое-что интересное.
Ссылка на скачку файла была такой
(Сейчас она не действительна).
https://ok.ru/web-api/messages/attach/download/21146852/PRIVATE_000000854965066800000089a75d3f290a00000164659a956c20bc0000000000000000
Хм, интересно…
Я решил изменить id файла с «21146852» на «21146842»
Вау я смог скачать какой то файл, это была фотография. (Этим способом можно было скачать всё что угодно, файлы любого формата который пользователь кому то отправлял).
Таким образом я нашёл вполне не плохую уязвимость, до которую мог найти совершенно любой человек, и использовать её не в благих целях, например сливать на всякие форумы фотографии/видео личного характера. Ну я думаю вы понимаете о чём я. Читать дальше →
Источник: Хабрахабр
