щитпостить так щитпостить, хули, я ещё не сплю
Вот вам новый ребус про уязвимости, а то сегодня у меня спрашивали (пиздец, ненавижу такую хуйню когда говорят "по многочисленным просьбам.." бла-бла) насчёт взлома вк (нуу ты ж типа хакер))) как вк взломать))) )
Получается 7 с половиной лет назад ВКонтакте вводили функцию, которую видимо тогда и похоронили нахуй, позволяющую получить по СМС короткую ссылку для авторизации без пароля в любом месте (единственное ограничение - 2FA, который тоже тогда только вводили)
Суть функции была проста, как с её помощью можно было зайти в любой аккаунт без 2FA?
Примерные параметры запроса:
- "id": 1337
- "hash": "chemodan"
- всякая хуйня кароч ещё
ОТВЕТ
Если просто в запросе удалить сам параметр hash - выдавало ошибку что нет параметра, но если его оставить пустым (при любом id), то вк выдавал весьма странную ошибку, в которой в ответе давал правильный хеш под указанный id
Ну, не нужно быть гением чтобы в следующем запросе с этим id поставить хеш, который ВК любезно предоставлял
Если что, считайте что я веду свой мини-бложик сам с собой
Ясно.
тот кто скажет "просто поменять id" - идиот
Комментарий недоступен
Комментарий недоступен
Не, заговоры сразу мимо, если бы тут была карма не плюс-минус, поставил бы 2!
А кому теперь этот вк нужен?
нихуя не понял но продолжай
вон в первый загляни, суть в полёте фантазии, Женя там смог угадать методом проб и ошибок (считай как тестирование и работает)
Удалить хеш)
Конкретнее?
Но близко
Комментарий недоступен
В мак-адресе? провайдер по мак-адресу идентифицирует подключения, а мак-адрес настраивается
Комментарий недоступен
МДА ХОТЯ БЫ ПОПЫТАЛИСЬ ЧОНИТЬ ПРИДУМАТЬ
ПРОБЛЕМА БЫЛА В ХЕШЕ, НО КАКАЯ, ЧТО С НИМ СДЕЛАТЬ МОЖН
там варианта то три всего, легко угадаете
Из первых рук рассказываешь интерактивно о том, какие бывают баги.... а они........ ОООО КОЛЬЦА ПОДГОНИ.......... эх............. вот в наше время..................