Баг довольно старый (еще с 2015, и в 2016 тоже жил), но все же решил рассказать о нем, так как по сути, должен остаться рабочим
Утечка access_token и auth_key при подключении iframe-приложениями сторонних js-кодов (счетчиков)
При использовании приложениями сторонних счетчиков посещений (googleanalytics, liveinternet и т.д.) или прочих подключаемых кодов (например qbaka, cdn jquery, картинки со сторонних доменов) в поле "Referer" http-запроса уходят все авторизационные данные передаваемые при первом запросе от VK к iframe-приложению. Это легко реализуется
Пример:
Посмотреть вложение 29071
Как это можно использовать
- сторонние сервисы могут получить данные пользователя в приложении
- сторонние сервисы могут совершать запросы к API VK от имени приложения
Утечка access_token и auth_key при подключении iframe-приложениями сторонних js-кодов (счетчиков)
При использовании приложениями сторонних счетчиков посещений (googleanalytics, liveinternet и т.д.) или прочих подключаемых кодов (например qbaka, cdn jquery, картинки со сторонних доменов) в поле "Referer" http-запроса уходят все авторизационные данные передаваемые при первом запросе от VK к iframe-приложению. Это легко реализуется
Пример:
Посмотреть вложение 29071
Как это можно использовать
- сторонние сервисы могут получить данные пользователя в приложении
- сторонние сервисы могут совершать запросы к API VK от имени приложения