Во ВКонакте имеется уязвимость, благодаря которой можно войти на страницу любого пользователя, который вышел из сети. Сообщил пользователь портала «Хабрахабр».
Как сообщает пользователь, в предназначенном для работы с мобильными приложениями API была обнаружена уязвимость в безопасности ВКонтакте. По его словам, мошенники имеют возможность беспрепятственно использовать данные «куков» пользователей после того, как они выходят из своих страниц. При этом для доступа к профилям абсолютно нет необходимости в подборке логина и пароля.
По словам программиста, авторизованному пользователю будет автоматически предложено установить приложение, а если он не авторизован, то в первую очередь нужно пройти процедуру авторизации, после чего устанавливать. В случае, если приложение уже было установлено, то сразу идет переход на страницу, которая в своем хэше будет иметь токен. После чего следуют работа с API.
Отмечается, что после выхода из страницы VK куки продолжают работать, благодаря чему после повторного показа страницы авторизации можно ввести любые другие логин и пароль, а попасть на страницу пользователя, который только что был авторизован.
С этим фактом программист обратился в поддержку ВКонтакте, где ему ответили что данный факт является не «багом, а фичей» сайта.
Также смотрите:
